第一篇：計算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文

計算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文

課題名稱：計算機(jī)網(wǎng)絡(luò)安全 姓名：呂金亮 班級：1031網(wǎng)絡(luò) 專業(yè)：計算機(jī)應(yīng)用 指導(dǎo)教師： 完成日期：

摘要:

21世紀(jì)的一些重要特征就是數(shù)字化，網(wǎng)絡(luò)化和信息化，它是一個以網(wǎng)絡(luò)為核心的信息時代。隨著計算機(jī)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)信息已經(jīng)成為社會發(fā)展的重要組成部分。它涉及到政府、經(jīng)濟(jì)、文化、軍事等諸多領(lǐng)域。由于計算機(jī)網(wǎng)絡(luò)組成形式多樣性、終端分布廣和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)信息容易受到來自黑客竊取、計算機(jī)系統(tǒng)容易受惡意軟件攻擊，因此，網(wǎng)絡(luò)信息資源的安全及管理維護(hù)成為當(dāng)今信息話時代的一個重要話題。

文中首先論述了信息網(wǎng)絡(luò)安全內(nèi)涵發(fā)生的根本變化,闡述了我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網(wǎng)絡(luò)安全體系的必要性,以及網(wǎng)絡(luò)面臨的安全性威脅（黑客入侵）及管理維護(hù)（防火墻安全技術(shù)）。進(jìn)一步闡述了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全設(shè)計，包括對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分析和對網(wǎng)絡(luò)安全的淺析。然后具體講述了網(wǎng)絡(luò)防火墻安全技術(shù)的分類及其主要技術(shù)特征，防火墻部署原則，并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)。同時就信息交換加密技術(shù)的分類及RSA算法做了簡要的分析，論述了其安全體系的構(gòu)成。

關(guān)鍵詞：信息安全 網(wǎng)絡(luò) 防火墻 數(shù)據(jù)加密

目錄

首頁........................................................................1 目錄........................................................................3 第一章 引言 1.1 概述.................................................................4 1.2 1.3 網(wǎng)絡(luò)安全技術(shù)的研究目的 意義和背景....................................4 計算機(jī)網(wǎng)絡(luò)安全的含義.................................................5 第二章 網(wǎng)絡(luò)安全初步分析 2.1 網(wǎng)絡(luò)安全的必要性.....................................................6 2.2 網(wǎng)絡(luò)的安全管理.......................................................6 2.2.1安全管理原則.................................................6 2.2.2安全管理的實現(xiàn).................................................7 2.3 采用先進(jìn)的技術(shù)和產(chǎn)品

2.3.1 防火墻技術(shù)....................................................7 2.3.2 數(shù)據(jù)加密技術(shù)..................................................7 2.3.3 認(rèn)證技術(shù)......................................................7 2.3.4 計算機(jī)病毒的防范..............................................7 2.4 常見的網(wǎng)絡(luò)攻擊及防范對策...............................................8 2.4.1 特洛伊木馬....................................................8 2.4.4 淹沒攻擊......................................................8 第三章 網(wǎng)絡(luò)攻擊分析及特點........................................................9 第四章 網(wǎng)絡(luò)安全面臨的威脅 3.1自然災(zāi)害 3.2網(wǎng)絡(luò)軟件漏洞 3.3黑客的威脅和攻擊 3.4計算機(jī)病毒

3.5垃圾郵件和間諜軟件 3.6計算機(jī)犯罪

第4章 計算機(jī)網(wǎng)絡(luò)安全防范策略

4.1 防火墻技術(shù)

4.1.1 防火墻的主要功能 4.1.2 防火墻的主要優(yōu)點 4.1.3 防火墻的主要缺陷 4.1.4 防火墻的分類 4.1.5 防火墻的部署 4.2 數(shù)據(jù)加密技術(shù) 4.3 系統(tǒng)容災(zāi)技術(shù) 4.4 入侵檢測技術(shù)

4.4.1 入侵檢測系統(tǒng)的分類 4.4.2 目前入侵檢測系統(tǒng)的缺陷

4.4.3 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動 4.4.4 結(jié)語 4.5 漏洞掃描技術(shù)

4.6 物理安全

第四章 網(wǎng)絡(luò)安全技術(shù)

4.1 防火墻的定義和選擇......................................................12 4.2 加密技術(shù)................................................................12 4.2.1 對稱加密技術(shù).....................................................12 4.2.2 非對稱加密/公開密鑰加密..........................................12.4.2.3 RSA算法.........................................................12 4.3注冊與認(rèn)證管理...........................................................13 4.3.1 認(rèn)證機(jī)構(gòu)...........................................................13 4.3.2 注冊機(jī)構(gòu)..........................................................13 4.3.3 密鑰備份和恢復(fù)....................................................13 第五章 安全技術(shù)的研究

5.1 安全技術(shù)的研究現(xiàn)狀和方向................................................14 5.1.1 包過濾型..........................................................14 5.1.2 代理型............................................................14

結(jié)束語.....................................................................15 參 考 文 獻(xiàn)

第一章 引言

1.1 概述

我們知道, 21世紀(jì)的一些重要特征就是數(shù)字化,網(wǎng)絡(luò)化和信息化,它是一個以網(wǎng)絡(luò)為核心的信息時代。要實現(xiàn)信息化就必須依靠完善的網(wǎng)絡(luò)，因為網(wǎng)絡(luò)可以非常迅速的傳遞信息。因此網(wǎng)絡(luò)現(xiàn)在已成為信息社會的命脈和發(fā)展知識經(jīng)濟(jì)的基礎(chǔ)。

隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)中的安全問題也日趨嚴(yán)重。當(dāng)網(wǎng)絡(luò)的用戶來自社會各個階層與部門時，大量在網(wǎng)絡(luò)中存儲和傳輸?shù)臄?shù)據(jù)就需要保護(hù)。當(dāng)人類步入21世紀(jì)這一信息社會、網(wǎng)絡(luò)社會的時候，我國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國特色的網(wǎng)絡(luò)安全體系。

一個國家的安全體系實際上包括國家的法律和政策，以及技術(shù)與市場的發(fā)展平臺。我國在構(gòu)建信息信息防衛(wèi)系統(tǒng)時,應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品,我國要想真正解決網(wǎng)絡(luò)安全問題,最終的辦法就是通過發(fā)展名族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高。

網(wǎng)絡(luò)安全產(chǎn)品有以下幾個特點：第一，網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷的變化；第三，隨著網(wǎng)絡(luò)在社會各個方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷的向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

信息安全是國家發(fā)展所面臨的一個重要問題，對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應(yīng)該看到它對我國未來數(shù)字化、網(wǎng)絡(luò)化、信息化的發(fā)展將起到非常重要的作用。

1.2 網(wǎng)絡(luò)安全技術(shù)的研究目的、意義和背景

目前計算機(jī)網(wǎng)絡(luò)面臨著很大的威脅，其構(gòu)成的因素是多方面的。這種威脅將不斷給社會帶來巨大的損失。網(wǎng)絡(luò)安全已被信息社會的各個領(lǐng)域所重視。

隨著計算機(jī)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢；給政府機(jī)構(gòu)、企事業(yè)單位帶來了革命性的改革。但由于計算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)容易受黑客、病毒、惡意軟件和其他不軌行為的攻擊，所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。對于軍用的自動化指揮網(wǎng)絡(luò)、C3I系統(tǒng)、銀行和政府等傳輸銘感數(shù)據(jù)的計算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全性和保密性尤為重要。因此，上述的網(wǎng)絡(luò)必須要有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個無用、甚至?xí)C(jī)國家安全的網(wǎng)絡(luò)。無論是在局域網(wǎng)中還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡(luò)的脆弱性，故此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位的針對各種不同的威脅和網(wǎng)絡(luò)的脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性、和可行。為了確保信息安的安全與暢通，研究計算機(jī)網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫。本文就進(jìn)行初步探討計算機(jī)網(wǎng)絡(luò)安全的管理及技術(shù)措施。

認(rèn)真分析網(wǎng)絡(luò)面臨的威脅，我認(rèn)為計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個極為復(fù)雜的系統(tǒng)工程，是一個安全管理和技術(shù)防范相結(jié)合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視，加強(qiáng)工作人員的責(zé)任心和防范意識，自覺執(zhí)行各項安全制度，在此基礎(chǔ)上，再采用現(xiàn)金的技術(shù)和產(chǎn)品，構(gòu)造全防衛(wèi)的防御機(jī)制，使系統(tǒng)在理想的狀態(tài)下運行。

1.3 計算機(jī)網(wǎng)絡(luò)安全的含義

計算機(jī)網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者的不同，對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的災(zāi)害，軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件極其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

第二章 網(wǎng)絡(luò)安全初步分析

2.1 網(wǎng)絡(luò)安全的必要性

隨著計算機(jī)技術(shù)的不斷發(fā)展，計算機(jī)網(wǎng)絡(luò)已經(jīng)成為信息時代的重要特征。人們稱它為信息高速公路。網(wǎng)絡(luò)是計算機(jī)技術(shù)和通信技術(shù)的產(chǎn)物，適應(yīng)社會對信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設(shè)自己的信息高速公路。我國近年來計算機(jī)網(wǎng)絡(luò)發(fā)展的速度也很快，在國防、電信、銀行、廣播等方面都有廣泛的應(yīng)用。我相信在不長的時間里，計算機(jī)網(wǎng)絡(luò)一定會得到極大的發(fā)展，那時將全面進(jìn)入信息時代。正因為網(wǎng)絡(luò)應(yīng)用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的。

2.2 網(wǎng)絡(luò)的安全管理

面對網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)安全的安全管理，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問題。

2.2.1安全管理原則

網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于3個原則： ① 多人負(fù)責(zé)原則

每一項與安全有關(guān)的活動，都必須有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠可靠，能勝任此項工作；他們應(yīng)該簽署工作情況記錄以證明安全工作以得到保障。與安全有關(guān)的活動有：訪問控制使用證件的發(fā)放與回收，信息處理系統(tǒng)使用的媒介發(fā)放與回收，處理保密信息，硬件與軟件的維護(hù)，系統(tǒng)軟件的設(shè)計、實現(xiàn)和修改，重要數(shù)據(jù)的刪除和銷毀等。

② 任期有限原則

一般來講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期的循環(huán)任職，強(qiáng)制實行休假制度，并規(guī)定對工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實可行。③ 職責(zé)分離原則

除非經(jīng)系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情。出于對安全的考慮，下面每組內(nèi)的兩項信息處理工作應(yīng)當(dāng)分開：計算機(jī)操作與計算機(jī)編程、機(jī)密資料的接收與傳送、安全管理與系統(tǒng)管理、應(yīng)用程序和系統(tǒng)程序的編制、訪問證件的管理與其他工作、計算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。

2.2.2 安全管理的實現(xiàn)

信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制定相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是:

①

根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級。

②

根據(jù)確定的安全等級，確定安全管理范圍。

③

制定相應(yīng)的機(jī)房出入管理制度，對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件識別或安裝自動識別系統(tǒng)，采用此卡、身份卡等手段，對人員進(jìn)行識別，登記管理。

2.3 采用先進(jìn)的技術(shù)和產(chǎn)品

要保證計算機(jī)網(wǎng)絡(luò)安全的安全性，還要采用一些先進(jìn)的技術(shù)和產(chǎn)品。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種。

2.3.1 防火墻技術(shù)

為保證網(wǎng)絡(luò)安全，防止外部網(wǎng)對內(nèi)部網(wǎng)的非法入侵，在被保護(hù)的網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間設(shè)置一道屏障這就稱為防火墻。它是一個或一組系統(tǒng)，該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。它可以監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，確認(rèn)其來源及去處，檢查數(shù)據(jù)的格式及內(nèi)容，并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有：應(yīng)用層網(wǎng)關(guān)、數(shù)據(jù)包過濾、代理服務(wù)器等幾大類型。

2.3.2 數(shù)據(jù)加密技術(shù)

與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)，是為了提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國除了從法律上、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外，從技術(shù)上分別在軟件和硬件兩方面采取措施，推動著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。按作用的不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。

2.3.3 認(rèn)證技術(shù)

認(rèn)證技術(shù)是防止主動攻擊的重要手段，它對于開放環(huán)境中的各種信息的安全有重要作用。認(rèn)證是指驗證一個最終用戶或設(shè)備的身份過程，即認(rèn)證建立信息的發(fā)送者或接受者的身份。認(rèn)證的主要目的有兩個：第一，驗證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號源識別；第二，驗證信息的完整性，保證信息在傳送過程中未被篡改或延遲等。目前使用的認(rèn)證技術(shù)主要有：消息認(rèn)證、身份認(rèn)證、數(shù)字簽名。

2.3.4 計算機(jī)病毒的防范

首先要加強(qiáng)工作人員防病毒的意識，其次是安裝好的殺毒軟件。合格的防病毒軟件應(yīng)該具備以下條件：

① 較強(qiáng)的查毒、殺毒能力。在當(dāng)前全球計算機(jī)網(wǎng)絡(luò)上流行的計算機(jī)病毒有4萬多種，在各種操作系統(tǒng)中包括Windows、UNIX 和 Netware 系統(tǒng)都有大量能夠造成危害的計算機(jī)病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查殺、殺毒范圍廣、能力強(qiáng)的特點。

② 完善的升級服務(wù)。與其他軟件相比，防病毒軟件更需要不斷的更新升級，以查殺層出不窮的計算機(jī)病毒。

2.4 常見的網(wǎng)絡(luò)攻擊和防范對策

2.4.1 特洛伊木馬

特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時，表面上是執(zhí)行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬的程序包括兩部分，即實現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。特洛伊木馬具有很強(qiáng)的生命力，在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的過程中，從而使它們受到感染。此類攻擊對計算機(jī)的危害極大，通過特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫未經(jīng)授權(quán)的文件，甚至可以獲得對被攻擊的計算機(jī)的控制權(quán)。

防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時，對每一個文件進(jìn)行數(shù)字簽名，而在運行文件時通過對數(shù)字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽TCP服務(wù)。2.4.2 郵件炸彈

郵件炸彈是最古老的匿名攻擊之一，通過設(shè)置一臺機(jī)器不斷的大量的向同以地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬，占據(jù)郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，妨礙計算機(jī)的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過計算機(jī)網(wǎng)絡(luò)對某一目標(biāo)的報復(fù)活動中。

防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進(jìn)行配置，自動刪除來自同一主機(jī)的過量或重復(fù)消息，也可以使自己的SMTP連接只能達(dá)成指定的服務(wù)器，從而免受外界郵件的侵襲。

2.4.3 過載攻擊

過載攻擊是攻擊者通過服務(wù)器長時間發(fā)出大量無用的請求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用的最多的一種方法是進(jìn)程攻擊，它是通過大量地進(jìn)行人為的增大CPU的工作量，耗費CPU的工作時間，使其它的用戶一直處于等待狀態(tài)。

防止過載攻擊的方法有：限制單個用戶所擁有的最大進(jìn)程數(shù)；殺死一些耗時的進(jìn)程。然而，不幸的是這兩種方法都存在著一定的負(fù)面效應(yīng)。通過對單個用戶所擁有的最大進(jìn)程數(shù)的限制和耗時進(jìn)程的刪除，會使用戶某些正常的請求得不到系統(tǒng)的響應(yīng)，從而出現(xiàn)類似拒絕服務(wù)的現(xiàn)象。通常，管理員可以使用網(wǎng)絡(luò)監(jiān)視工具來發(fā)現(xiàn)這種攻擊，通過主機(jī)列表和網(wǎng)絡(luò)地址列表來的所在，也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟是來自于網(wǎng)絡(luò)內(nèi)部還是網(wǎng)絡(luò)外部。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。2.4.4 淹沒攻擊

正常情況下，TCP連接建立要經(jīng)過3次握手的過程，即客戶機(jī)向客戶機(jī)發(fā)送SYN請求信號；目標(biāo)主機(jī)收到請求信號后向客戶機(jī)發(fā)送SYN/ACK消息；客戶機(jī)收到SYN/ACK消息后再向主機(jī)發(fā)送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會。攻擊者可以使用一個不存在或當(dāng)時沒有被使用的主機(jī)的IP地址，向被攻擊主機(jī)發(fā)出SYN請求信號，當(dāng)被攻擊主機(jī)收到SYN請求信號后，它向這臺不存在IP地址的偽裝主機(jī)發(fā)出SYN/消息。由于此時的主機(jī)IP不存在或當(dāng)時沒有被使用所以無法向主機(jī)發(fā)送RST，因此，造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時。如果攻擊者不斷的向被攻擊的主機(jī)發(fā)送SYN請求，被攻擊主機(jī)就一直處于等待狀態(tài)，從而無法響應(yīng)其他用戶請求。

對付淹沒攻擊的最好方法就是實時監(jiān)控系統(tǒng)處于SYN-RECEIVED狀態(tài)的連接數(shù)，當(dāng)連接數(shù)超過某一給定的數(shù)值時，實時關(guān)閉這些連接。

第三章 網(wǎng)絡(luò)攻擊分析及特點

攻擊是指非授權(quán)行為。攻擊的范圍從簡單的使服務(wù)器無法提供正常的服務(wù)到安全破壞、控制服務(wù)器。在網(wǎng)絡(luò)上成功實施的攻擊級別以來于擁護(hù)采取的安全措施。

在此先分析下比較流行的攻擊Dodos分布式拒絕服務(wù)攻擊：Does是Denial of Service的簡稱，即拒絕服務(wù)，造成Does的攻擊行為被稱為Does攻擊，其目的是使計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的Does攻擊有計算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求就無法通過。連通性攻擊是指用大量的連接請求沖擊計算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機(jī)無法再處理合法用戶的請求。而分布式拒絕服務(wù)（DDoS:Distributed Denial of Service）攻擊是借助于客戶/服務(wù)器技術(shù)，將多個計算機(jī)聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機(jī)上，在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在 Internet 上的許多計算機(jī)上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。而且現(xiàn)在沒有有限的方法來避免這樣的攻擊。

因為此攻擊基于TCP/IP 協(xié)議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做到的那我們要如何放置呢？

1.確保所有服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁。計算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個受到DDoS攻擊的系統(tǒng)都沒有及時打上補(bǔ)丁。

2.確保管理員對所有主機(jī)進(jìn)行檢查，而不僅針對關(guān)鍵主機(jī)。這是為了確保管理員知道每個主機(jī)系統(tǒng)在 運行什么？ 誰在使用主機(jī)？ 哪些人可以訪問主機(jī)？ 不然，即使黑客侵犯了系統(tǒng)，也很難查明。

3.確保從服務(wù)器相應(yīng)的目錄或文件數(shù)據(jù)庫中刪除未使用的服務(wù)如FTP或NFS.等守護(hù)程序存在一些已知的漏洞，黑客通過根攻擊就能獲得訪問特權(quán)系統(tǒng)的權(quán)限，并能訪問其他系統(tǒng)—甚至是受防火墻保護(hù)的系統(tǒng)。

4.確保運行在 Unix上的所有服務(wù)都有TCP封裝程序，限制對主機(jī)的訪問權(quán)。5.禁止內(nèi)部網(wǎng)通過Modem連接至PSTN 系統(tǒng)。否則，黑客能通過電話線發(fā)現(xiàn)未受保護(hù)的主機(jī)，即刻就能訪問極為機(jī)密的數(shù)據(jù)。

6.禁止使用網(wǎng)絡(luò)訪問程序如 Telnet、Ftp、Rsh、Rlogin 和Rcp，以基于PKI的訪問程序如SSH取代。SSH不會在網(wǎng)上以明文格式傳遞口令，而Telnet和 Rlogin 則正好相反，黑客能搜尋到這些口令，從而立即訪問網(wǎng)絡(luò)上的重要服務(wù)器。此外，在Unix上應(yīng)該將.rhost 和 hosts.equiv 文件刪除,因為不用猜口令,這些文件就會提供登錄訪問!7.限制在防火墻外與網(wǎng)絡(luò)文件共享。這會使黑客有機(jī)會截獲系統(tǒng)文件，并以特洛伊木馬替換他，文件傳輸功能無異將陷入癱瘓。

8.確保手頭上有一張最新的網(wǎng)絡(luò)拓?fù)鋱D。這張圖應(yīng)該詳細(xì)標(biāo)明TCP/IP地址、主機(jī)、路由器及其他網(wǎng)絡(luò)設(shè)備，還應(yīng)該包括網(wǎng)絡(luò)邊界、非軍事區(qū)（DMZ）及網(wǎng)絡(luò)的內(nèi)部保密部分。

9.在防火墻上運行端口映射程序或端口掃描程序。大多數(shù)時間是由于防火墻配置不當(dāng)造成的，使DoS/ DDoS攻擊成功率很高，所以一定要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。

10.檢查所有網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)紕漏或時間出現(xiàn)變更，幾乎可以坑定：相關(guān)的主機(jī)安全收到了威脅。

計算機(jī)網(wǎng)絡(luò)的攻擊特

1．損失巨大

由于攻擊和入侵的對象是網(wǎng)絡(luò)上的計算機(jī),因此攻擊一旦成功,就會使網(wǎng)絡(luò)中的計算機(jī)處于癱瘓狀態(tài),從而給計算機(jī)用戶造成巨大的經(jīng)濟(jì)損失。如美國每年因計算機(jī)犯罪而造成的經(jīng)濟(jì)損失就達(dá)幾百億美元。平均每起計算機(jī)犯罪案件所成的經(jīng)濟(jì)損失是一般案件的幾十到幾百倍。

2．威脅社會和國家安全

一些計算機(jī)網(wǎng)絡(luò)攻擊者出于各種目的經(jīng)常把政府部門和軍事部門的計算機(jī)作為攻擊目標(biāo),從而對社會和國家安全造成威脅。

3．手段多樣與手法隱蔽

計算機(jī)攻擊的手段可以說五花八門:網(wǎng)絡(luò)攻擊者既可以通過監(jiān)視網(wǎng)上數(shù)據(jù)來獲取別人的保密信息,又可以通過截取別人的帳號和口令進(jìn)入別人的計算機(jī)系統(tǒng),還可以通過一些特殊的方法繞過人們精心設(shè)計的防火墻,等等。這些過程都可以在很短的時間內(nèi)通過計算機(jī)完成,因而犯罪不留痕跡,隱蔽性很強(qiáng)。

4．以軟件攻擊為主

幾乎所有的網(wǎng)絡(luò)入侵都是通過對軟件的截取和攻擊進(jìn)而破壞整個計算機(jī)系統(tǒng)的。因此,計算機(jī)犯罪具有隱蔽性,這要求人們對計算機(jī)的各種軟件(包括計算機(jī)通信過程中的信息流)進(jìn)行嚴(yán)格的保護(hù)。

第3章 計算機(jī)網(wǎng)絡(luò)安全面臨的威脅

3.1自然災(zāi)害

計算機(jī)信息系統(tǒng)僅僅是一個智能的機(jī)器,易受自然災(zāi)害及環(huán)境(溫度、濕度、振動、沖擊、污染)的影響。目前,我們不少計算機(jī)房并沒有防震、防火、防水、避雷、防電磁泄露或干擾等措施,接地系統(tǒng)也疏于周到考慮,抵御自然災(zāi)害和意外事故的能力較差。日常工作中因斷電而設(shè)備損壞、數(shù)據(jù)丟失的現(xiàn)象時有發(fā)生。由于噪音和電磁輻射,導(dǎo)致網(wǎng)絡(luò)信噪比下降,誤碼率增加,信息的安全性、完整性和可用性受到威脅。

3.2網(wǎng)絡(luò)軟件漏洞

網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo),曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的,一般不為外人所知,一旦“后門”洞開,其造成的后果將不堪設(shè)想。

3.3黑客的威脅和攻擊

這是計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行,并不盜竊系統(tǒng)資料,通常采用拒絕服務(wù)攻擊或信息炸彈;破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。黑客們常用的攻擊手段有獲取口令、電子郵件攻擊、特洛伊木馬攻擊、www的欺騙技術(shù)和尋找系統(tǒng)漏洞等。

3.4計算機(jī)病毒

20世紀(jì)90年代,出現(xiàn)了曾引起世界性恐慌的“計算機(jī)病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計。它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進(jìn)入到系統(tǒng)中進(jìn)行擴(kuò)散。計算機(jī)感染上病毒后,輕則使系統(tǒng)工作效率下降,重則造成系統(tǒng)死機(jī)或毀壞,使部分文件或全部數(shù)據(jù)丟失,甚至造成計算機(jī)主板等部件的損壞。

3.6計算機(jī)犯罪

計算機(jī)犯罪,通常是利用竊取口令等手段非法侵入計算機(jī)信息系統(tǒng),傳播有害信息,惡意破壞計算機(jī)系統(tǒng),實施貪污、盜竊、詐騙和金融犯罪等活動。在一個開放的網(wǎng)絡(luò)環(huán)境中,大量信息在網(wǎng)上流動,這為不法分子提供了攻擊目標(biāo)。他們利用不同的攻擊手段,獲得訪問或修改在網(wǎng)中流動的敏感信息,闖入用戶或政府部門的計算機(jī)系統(tǒng),進(jìn)行窺視、竊取、篡改數(shù)據(jù)。不受時間、地點、條件限制的網(wǎng)絡(luò)詐騙,其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機(jī)信息。

4.1 防火墻技術(shù)

網(wǎng)絡(luò)安全所說的防火墻(Fire Wall)是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點上。所有來自Internet（外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻。

4.1.1 防火墻的主要功能 防火墻的主要功能包括：

1、防火墻可以對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，從而過濾掉一些攻擊，以免其在目標(biāo)計算機(jī)上被執(zhí)行。

2、防火墻可以關(guān)閉不使用的端口，而且它還能禁止特定端口的輸出信息。

3、防火墻可以禁止來自特殊站點的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務(wù)和控制非法用戶對網(wǎng)絡(luò)的訪問。

4、防火墻可以控制網(wǎng)絡(luò)內(nèi)部人員對Internet上特殊站點的訪問。

5、防火墻提供了監(jiān)視Internet安全和預(yù)警的方便端點

4.1.2 防火墻的主要優(yōu)點

防火墻的主要優(yōu)點包括:

1、可作為網(wǎng)絡(luò)安全策略的焦點

防火墻可作為網(wǎng)絡(luò)通信的阻塞點。所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過防火墻。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來，將承擔(dān)風(fēng)險的范圍從整個內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺或幾臺主機(jī)上。從而在結(jié)構(gòu)上形成了一個控制中心，極大地加強(qiáng)了網(wǎng)絡(luò)安全，并簡化了網(wǎng)絡(luò)管理。

2、可以有效記錄網(wǎng)絡(luò)活動

由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間，即所有傳輸?shù)男畔⒍紩┻^防火墻。所以，防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息，提供監(jiān)視、管理與審計網(wǎng)絡(luò)的使用和預(yù)警功能。

3、為解決IP地址危機(jī)提供了可行方案 由于Internet的日益發(fā)展及IP地址空間有限，使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。

4、防火墻能夠強(qiáng)化安全策略

因為網(wǎng)絡(luò)上每天都有上百萬人在收集信息、交換信息，不可避免地會出現(xiàn)個別品德不良，或違反規(guī)則的人，防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請求通過.5、防火墻能有效地記錄網(wǎng)絡(luò)上的活動

因為所有進(jìn)出信息都必須通過防火墻，所以防火墻非常適用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息.作為訪問的唯一點，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄.6、防火墻限制暴露用戶點

防火墻能夠用來隔開網(wǎng)絡(luò)中的兩個網(wǎng)段，這樣就能夠防止影響一個網(wǎng)段的信息通過整個網(wǎng)絡(luò)進(jìn)行傳播.7、防火墻是一個安全策略的檢查站

所有進(jìn)出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外.4.1.3 防火墻的主要缺陷

由于互聯(lián)網(wǎng)的開放性，防火墻也有一些弱點，使它不能完全保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有：

1、防火墻對繞過它的攻擊行為無能為力。

2、防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對于病毒只能安裝反病毒軟件。

3、防火墻需要有特殊的較為封閉的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來支持。網(wǎng)絡(luò)安全性的提高往往是以犧牲網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價。

4、不能防范惡意的知情者

防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上，放在公文包中帶出去.如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的.內(nèi)部用戶可以偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻.對于來自知情者的威脅，只能要求加強(qiáng)內(nèi)部管理，如主機(jī)安全和用戶教育等.5、不能防范不通過它的連接

防火墻能夠有效地防止通過它的傳輸信息，然而它卻不能防止不通過它而傳輸?shù)男畔?例如，如果站點允許對防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進(jìn)行撥號入侵.6、不能防備全部的威脅

防火墻被用來防備已知的威脅，如果是一個很好的防火墻設(shè)計方案，就可以防備新的威脅，但沒有一扇防火墻能自動防御所有新的威脅.7、防火墻不能防范病毒

防火墻一般不能消除網(wǎng)絡(luò)上的病毒.4.1.4 防火墻的分類 防火墻的實現(xiàn)從層次上大體可分為三類：包過濾防火墻，代理防火墻和復(fù)合型防火墻。

1、包過濾防火墻

包過濾防火墻是在IP層實現(xiàn)，它可以只用路由器來實現(xiàn)。包過濾防火墻根據(jù)報文的源IP地址，目的IP地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過。

2、代理防火墻

代理防火墻也叫應(yīng)用層網(wǎng)關(guān)防火墻，包過濾防火墻可以按照IP地址來禁止未授權(quán)者的訪問。但它不適合單位用來控制內(nèi)部人員訪問外部網(wǎng)絡(luò)，對于這樣的企業(yè)，應(yīng)用代理防火墻是更好的選擇。

3、復(fù)合型防火墻

復(fù)合型防火墻是將數(shù)據(jù)包過濾和代理服務(wù)結(jié)合在一起使用，從而實現(xiàn)了網(wǎng)絡(luò)安全性、性能和透明度的優(yōu)勢互補(bǔ)。

4.1.5 防火墻的部署

防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備，只有在關(guān)鍵網(wǎng)絡(luò)流量通過防火墻的時候，防火墻才能對此實行檢查，防護(hù)功能。

1、防火墻的位置一般是內(nèi)網(wǎng)與外網(wǎng)的接合處，用來阻止來自外部網(wǎng)絡(luò)的入侵。

2、如果內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置虛擬局域網(wǎng)（VLAN），則應(yīng)該在各個VLAN之間設(shè)置防火墻。

3、通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間應(yīng)該設(shè)置防火墻。

4、主干交換機(jī)至服務(wù)器區(qū)域工作組交換機(jī)的骨干鏈路上。

5、遠(yuǎn)程撥號服務(wù)器與骨干交換機(jī)或路由器之間。

總之，在網(wǎng)絡(luò)拓?fù)渖希阑饓?yīng)當(dāng)處在網(wǎng)絡(luò)的出口與不同安全等級區(qū)域的結(jié)合處。安裝防火墻的原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)還是外部網(wǎng)的連接處都應(yīng)安裝防火墻。

4.2 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)就是對信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息、的真實內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。

數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術(shù)4種。數(shù)據(jù)存儲加密技術(shù)是以防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲和存取控制兩種;數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密，常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術(shù)的目的是對介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗證，達(dá)到保密的要求，系統(tǒng)通過對比驗證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實現(xiàn)對數(shù)據(jù)的安全保護(hù)。數(shù)據(jù)加密在許多場合集中表現(xiàn)為密匙的應(yīng)用，密匙管理技術(shù)事實上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。

4.3 系統(tǒng)容災(zāi)技術(shù)

一個完整的網(wǎng)絡(luò)安全體系，只有防范和檢測措施是不夠的，還必須具有災(zāi)難容忍和系統(tǒng)恢復(fù)能力。因為任何一種網(wǎng)絡(luò)安全設(shè)施都不可能做到萬無一失，一旦發(fā)生漏防漏檢事件，其后果將是災(zāi)難性的。此外，天災(zāi)人禍、不可抗力等所導(dǎo)致的事故也會對信息系統(tǒng)造成毀滅性的破壞。這就要求即使發(fā)生系統(tǒng)災(zāi)難，也能快速地恢復(fù)系統(tǒng)和數(shù)據(jù)，才能完整地保護(hù)網(wǎng)絡(luò)信息系統(tǒng)的安全?，F(xiàn)階段主要有基于數(shù)據(jù)備份和基于系統(tǒng)容錯的系統(tǒng)容災(zāi)技術(shù)。數(shù)據(jù)備份是數(shù)據(jù)保護(hù)的最后屏障，不允許有任何閃失。但離線介質(zhì)不能保證安全。數(shù)據(jù)容災(zāi)通過IP容災(zāi)技術(shù)來保證數(shù)據(jù)的安全。數(shù)據(jù)容災(zāi)使用兩個存儲器，在兩者之間建立復(fù)制關(guān)系，一個放在本地，另一個放在異地。本地存儲器供本地備份系統(tǒng)使用，異地容災(zāi)備份存儲器實時復(fù)制本地備份存儲器的關(guān)鍵數(shù)據(jù)。二者通過IP相連，構(gòu)成完整的數(shù)據(jù)容災(zāi)系統(tǒng)，也能提供數(shù)據(jù)庫容災(zāi)功能。

4.4 入侵檢測技術(shù)

入侵檢測技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息（系統(tǒng)運行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等），并對這些信息進(jìn)行分析和判斷。通過檢測網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為，入侵檢測系統(tǒng)可以及時發(fā)現(xiàn)攻擊或異常行為并進(jìn)行阻斷、記錄、報警等響應(yīng)，從而將攻擊行為帶來的破壞和影響降至最低。同時，入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別異常行為和攻擊行為（通過異常檢測和模式匹配等技術(shù)）、對攻擊行為或異常行為進(jìn)行響應(yīng)、審計和跟蹤等。

典型的IDS系統(tǒng)模型包括4個功能部件：

1、事件產(chǎn)生器，提供事件記錄流的信息源。

2、事件分析器，這是發(fā)現(xiàn)入侵跡象的分析引擎。

3、響應(yīng)單元，這是基于分析引擎的分析結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件。

4、事件數(shù)據(jù)庫，這是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。

4.4.1 入侵檢測系統(tǒng)的分類

入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)來源不同，可分為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機(jī)的入侵檢測系統(tǒng)。網(wǎng)絡(luò)型入侵檢測系統(tǒng)的實現(xiàn)方式是將某臺主機(jī)的網(wǎng)卡設(shè)置成混雜模式，監(jiān)聽本網(wǎng)段內(nèi)的所有數(shù)據(jù)包并進(jìn)行判斷或直接在路由設(shè)備上放置入侵檢測模塊。一般來說，網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個網(wǎng)絡(luò)的任務(wù)。

主機(jī)型入侵檢測系統(tǒng)是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其它手段（如檢測系統(tǒng)調(diào)用）從所有的主機(jī)上收集信息進(jìn)行分析。

入侵檢測系統(tǒng)根據(jù)檢測的方法不同可分為兩大類：異常和誤用。

異常入侵檢測根據(jù)用戶的異常行為或?qū)Y源的異常存放來判斷是否發(fā)生了入侵事件。

4.4.2 目前入侵檢測系統(tǒng)的缺陷

入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全防護(hù)的重要手段，目前的IDS還存在很多問題，有待于我們進(jìn)一步完善。

1、高誤報率

誤報率主要存在于兩個方面：一方面是指正常請求誤認(rèn)為入侵行為；另一方面是指對IDS用戶不關(guān)心事件的報警。導(dǎo)致IDS產(chǎn)品高誤報率的原因是IDS檢測精度過低和用戶對誤報概念的不確定。

2、缺乏主動防御功能

入侵檢測技術(shù)作為一種被動且功能有限的安全防御技術(shù)，缺乏主動防御功能。因此，需要在一代IDS產(chǎn)品中加入主動防御功能，才能變被動為主動。

4.4.3 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動

防火墻是一個跨接多個物理網(wǎng)段的網(wǎng)絡(luò)安全關(guān)口設(shè)備。它可以對所有流經(jīng)它的流量進(jìn)行各種各樣最直接的操作處理，如無通告拒絕、ICMP拒絕、轉(zhuǎn)發(fā)通過（可轉(zhuǎn)發(fā)至任何端口）、各以報頭檢查修改、各層報文內(nèi)容檢查修改、鏈路帶寬資源管理、流量統(tǒng)計、訪問日志、協(xié)議轉(zhuǎn)換等。當(dāng)我們實現(xiàn)防火墻與入侵檢測系統(tǒng)的相互聯(lián)動后，IDS就不必為它所連接的鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量。因此，IDS可以將大部分的系統(tǒng)資源用于對采集報文的分析，而這正是IDS最眩目的亮點。IDS可以有足夠的時間和資源做些有效的防御工作，如入侵活動報警、不同業(yè)務(wù)類別的網(wǎng)絡(luò)流量統(tǒng)計、網(wǎng)絡(luò)多種流量協(xié)議恢復(fù)（實時監(jiān)控功能）等。IDS高智能的數(shù)據(jù)分析技術(shù)、詳盡的入侵知識描述庫可以提供比防火墻更為準(zhǔn)確、更嚴(yán)格、更全面的訪問行為審查功能。

綜上所述，防火墻與IDS在功能上可以形成互補(bǔ)關(guān)系。這樣的組合較以前單一的動態(tài)技術(shù)或靜態(tài)技術(shù)都有了較大的提高。使網(wǎng)絡(luò)的防御安全能力大大提高。防火墻與IDS的相互聯(lián)動可以很好地發(fā)揮兩者的優(yōu)點，淡化各自的缺陷，使防御系統(tǒng)成為一個更加堅固的圍墻。在未來的網(wǎng)絡(luò)安全領(lǐng)域中，動態(tài)技術(shù)與靜態(tài)技術(shù)的聯(lián)動將有很大的發(fā)展市場和空間。4.4.4 結(jié)語

網(wǎng)絡(luò)安全是一個很大的系統(tǒng)工程，除了防火墻和入侵檢測系統(tǒng)之外，還包括反病毒技術(shù)和加密技術(shù)。反病毒技術(shù)是查找和清除計算機(jī)病毒技術(shù)。其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎。然后根據(jù)病毒特征碼數(shù)據(jù)庫來進(jìn)行對比式查殺。加密技術(shù)主要是隱藏信息、防止對信息篡改或防止非法使用信息而轉(zhuǎn)換數(shù)據(jù)的功能或方法。它是將數(shù)據(jù)信息轉(zhuǎn)換為一種不易解讀的模式來保護(hù)信息，除非有解密密鑰才能閱讀信息。加密技術(shù)包括算法和密鑰。算法是將普通的文本（或是可以理解的信息）與一串?dāng)?shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文的步驟。密鑰是用來對數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。在安全保密中，可通過適當(dāng)?shù)拿荑€加密技術(shù)和管理機(jī)制來保證網(wǎng)絡(luò)的信息通信安全。

4.5 漏洞掃描技術(shù)

漏洞掃描是自動檢測遠(yuǎn)端或本地主機(jī)安全的技術(shù)，它查詢TCP/IP各種服務(wù)的端口，并記錄目標(biāo)主機(jī)的響應(yīng)，收集關(guān)于某些特定項目的有用信息。這項技術(shù)的具體實現(xiàn)就是安全掃描程序。掃描程序可以在很短的時間內(nèi)查出現(xiàn)存的安全脆弱點。掃描程序開發(fā)者利用可得到的攻擊方法，并把它們集成到整個掃描中，掃描后以統(tǒng)計的格式輸出，便于參考和分析。

4.6 物理安全

為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴(kuò)散。通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴(kuò)散出去的空間信號。為保證網(wǎng)絡(luò)的正常運行，在物理安全方面應(yīng)采取如下措施:

1、產(chǎn)品保障方面:主要指產(chǎn)品采購、運輸、安裝等方面的安全措施。

2、運行安全方面:網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。

3、防電磁輻射方面:所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機(jī)。

4、保安方面:主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計算機(jī)、安全設(shè)備的安全防護(hù)。

計算機(jī)網(wǎng)絡(luò)安全是個綜合性和復(fù)雜性的問題。面對網(wǎng)絡(luò)安全行業(yè)的飛速發(fā)展以及整個社會越來越快的信息化進(jìn)程，各種新技術(shù)將會不斷出現(xiàn)和應(yīng)用。??? 網(wǎng)絡(luò)安全孕育著無限的機(jī)遇和挑戰(zhàn)，作為一個熱門的研究領(lǐng)域和其擁有的重要戰(zhàn)略意義，相信未來網(wǎng)絡(luò)安全技術(shù)將會取得更加長足的發(fā)展。

第四章 網(wǎng)絡(luò)安全技術(shù)

4.1 防火墻的定義和選擇

4.1.1防火墻的定義

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。

目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)（代理服務(wù)器）以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。

作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸。但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務(wù)，同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客入侵等方向發(fā)展。

4.1.2 防火墻的選擇

總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其總擁有成本（TCO）不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例，假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價值為10萬元，則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當(dāng)然，對于關(guān)鍵部門來說，其所造成的負(fù)面影響和連帶損失也不應(yīng)該考慮在內(nèi)。如果僅作粗略估算，非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本，關(guān)鍵部門則應(yīng)另當(dāng)別論選擇防火墻的標(biāo)準(zhǔn)有很多，但最重要的是以下兩條：

（1）防火墻本身是安全的

作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應(yīng)該保證安全，不給外部侵入者以可乘之機(jī)。如果像瑪奇諾防線一樣，正面雖然牢不可破，但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部，網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。

通常，防火墻的安全性問題來自兩個方面：其一是防火墻本身的設(shè)計是否合理，其二是使用不當(dāng)。一般來說，防火墻的許多配置需要系統(tǒng)管理員手工修改，如果系統(tǒng)管理員對防火墻十分不熟悉，就有可能在配置過程中遺留大量的安全漏洞。

（2）可擴(kuò)充性

在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期，由于內(nèi)部信息系統(tǒng)的規(guī)模較小，遭受攻擊造成的損失也較小，因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加，網(wǎng)絡(luò)的風(fēng)險成本也會急劇上升，此時便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴(kuò)充性，或擴(kuò)充成本極高，這便是對投資的浪費。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間，在安全水平要求不高的情況下，可以只選購基本系統(tǒng)，而隨著要求的提供，用戶仍然有進(jìn)一步增加選擇的余地。這樣不僅能夠保護(hù)用戶的投資，對提供防火墻產(chǎn)品的廠商來說，也擴(kuò)大產(chǎn)品的覆蓋面。

4.2 加密技術(shù)

信息交換加密技術(shù)分為兩類:即對稱加密和非對稱加密.4.2.1 對稱加密技術(shù)

在對稱加密技術(shù)中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖.這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄漏，那么機(jī)密性和報文完整性就可以得以保證。對稱加密技術(shù)也存在一些不足，如果交換一方有N個交換對象，那么他就要維護(hù)N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方。如三重DES是DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）的一種變形，這種方法使用兩個獨立的56位密鑰對信息進(jìn)行3次加密，從而使有效密鑰長度達(dá)到112位。

4.2.2 非對稱加密技術(shù)

在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛分布，但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。

4.2.3 RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制。其安全性是基于分散大整數(shù)的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分散兩大素數(shù)之積。RSA算法的描述如下：

公開密鑰： n=pq(p、q 分別為兩個互異的大素數(shù)，p、q 必須保密)e與(p-1)(q-1)互素

私有密鑰：d=e-1 {mod(p-1)(q-1)} 加密：c=me(mod n)，其中 m 為明文，c為密文。

解密：m=cd(mod n)利用目前已經(jīng)掌握的只是和理論，分解2048bit的大整數(shù)已經(jīng)超過了64位計算機(jī)的運算能力，因此在目前和預(yù)見的將來，它是足夠安全的。

4.3 注冊與認(rèn)證管理

4.3.1 認(rèn)證機(jī)構(gòu)

CA（Certification Authorty）就是這樣一個確保信任度的權(quán)威實體，它的主要職責(zé)是頻發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明一證書，任何相信該CA的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。構(gòu)建一個具有較強(qiáng)安全性的CA是至關(guān)重要的，這不僅與密碼學(xué)有關(guān)系，而且還與整個PKI系統(tǒng)的構(gòu)架和模型有關(guān)。

4.3.2 注冊機(jī)構(gòu)

RA(Registration Authority)是用戶和CA的借口，它所獲得的用戶標(biāo)識的準(zhǔn)確性是CA發(fā)給證書的基礎(chǔ)。RA不僅要支持面對面的登記，也必須支持遠(yuǎn)程登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設(shè)計和實現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。

4.3.3 密鑰備份和恢復(fù)

為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù)，也是關(guān)系到整個PKI系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。

4.3.4 證書管理與撤銷系統(tǒng)

證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤銷，證書撤銷的理由是各種各樣的?？赡馨üぷ髯儎拥綄γ荑€懷疑等一系列原因。證書撤銷系統(tǒng)實現(xiàn)是利用周期性的發(fā)布機(jī)制撤銷證書或采用在線查詢機(jī)制，隨時查詢被撤銷的證書。

第五章 安全技術(shù)的研究

5.1 安全技術(shù)的研究現(xiàn)狀和方向

我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計算機(jī)技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機(jī)整體。根據(jù)防火墻所采用的技術(shù)不同，將它分為4個基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換-NAT、代理型和監(jiān)測型。

5.2 包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會含一些特定信息，防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一單發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制定判斷規(guī)則。

包過濾技術(shù)的優(yōu)點是簡單實用，實現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。

但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無法識別基于應(yīng)用層的惡意侵入。

5.3 代理型

代理型的安全性能要高過包過濾型，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看，代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器；從服務(wù)器來看，代理服務(wù)器又是一臺真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

代理型防火墻的優(yōu)點是安全性較高，可以針對應(yīng)用層進(jìn)行偵測和掃描，對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。

實際上，作為當(dāng)前防火墻產(chǎn)品的主流趨勢，大多數(shù)代理服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包過濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的，應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。正是由于應(yīng)用網(wǎng)關(guān)的這些特點，使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。

結(jié)束語

互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為了人們不可缺少的通信工具，其發(fā)展速度也快的驚人，以此而來的攻擊破壞層出不窮，為了有效的防止入侵把損失降到最低，我們必須適合注意安全問題，使用盡量多而可靠的安全工具經(jīng)常維護(hù)，讓我們的網(wǎng)絡(luò)體系完善可靠。在英特網(wǎng)為我們提供了大量的機(jī)會和便利的同時，也在安全性方面給我們帶來了巨大的挑戰(zhàn)，我們不能因為害怕挑戰(zhàn)而拒絕它，否則就會得不償失，信心安全是當(dāng)今社會乃至整個國家發(fā)展所面臨的一個只管重要的問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要的組成部分，甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展講起到非常重要的作用。網(wǎng)絡(luò)安全是一項動態(tài)的、整體的系統(tǒng)工程，我們應(yīng)該結(jié)合現(xiàn)在網(wǎng)絡(luò)發(fā)展的特點，制定妥善的網(wǎng)絡(luò)安全策略，將英特網(wǎng)的不安全性降至到現(xiàn)有條件下的最低點，讓它為我們的工作和現(xiàn)代化建設(shè)做出更好的服務(wù)。

參考文獻(xiàn)

[1] 謝希仁.計算機(jī)網(wǎng)絡(luò) 電子工業(yè)出版社

[2]湯小丹、梁紅兵.計算機(jī)操作系統(tǒng) 西安電子科技大學(xué)出版社 [3] 李偉.網(wǎng)絡(luò)安全實用技術(shù)標(biāo)準(zhǔn)教程 清華大學(xué)出版社 [4] Andrew S.Tanenbaum.計算機(jī)網(wǎng)絡(luò) 清華大學(xué)出版社

[1]李軍義.計算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用[M].北京：北方交通大學(xué)出版社，2006.7． [2]蔡立軍.計算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:中國水利水電出版社,2005.[3]嘉寧.網(wǎng)絡(luò)防火墻技術(shù)淺析[J].通信工程.2004(3).[4]鄭成興.網(wǎng)絡(luò)入侵防范的理論與實踐[M].北京：機(jī)械工業(yè)出版社，2006.9.[5][美] Merike Kaeo 著.網(wǎng)絡(luò)安全性設(shè)計[M].北京：人民郵電出版社，2005.9.[6]黃怡強(qiáng),等.淺談軟件開發(fā)需求分析階段的主要任務(wù)[M].中山大學(xué)學(xué)報論叢，2002(01).[7]胡道元.計算機(jī)局域網(wǎng)[M].北京:清華大學(xué)出版社.2001.[8]朱理森，張守連.計算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻(xiàn)出版社，2001.[9]謝希仁.計算機(jī)網(wǎng)絡(luò)(第4版)[M].北京:電子工業(yè)出版社.

第二篇：計算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文（范文）

網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全

摘要:計算機(jī)網(wǎng)絡(luò)安全問題，直接關(guān)系到一個國家的政治、軍事、經(jīng)濟(jì)等領(lǐng)域的安全和穩(wěn)定。目前黑客猖獗，平均每18秒鐘世界上就有一次黑客事件發(fā)生。因此，提高對網(wǎng)絡(luò)安全重要性的認(rèn)識，增強(qiáng)防范意識，強(qiáng)化防范措施，是保證信息產(chǎn)業(yè)持續(xù)穩(wěn)定發(fā)展的重要保證和前提條件。

文中首先論述了信息網(wǎng)絡(luò)安全內(nèi)涵發(fā)生的根本變化，闡述了我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網(wǎng)絡(luò)安全體系的必要性，以及網(wǎng)絡(luò)的安全管理。進(jìn)一步闡述了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全設(shè)計，包括對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分析和對網(wǎng)絡(luò)安全的淺析。然后具體講述了網(wǎng)絡(luò)防火墻安全技術(shù)的分類及其主要技術(shù)特征，防火墻部署原則，并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)。同時就信息交換加密技術(shù)的分類及RSA算法作了簡要的分析，論述了其安全體系的構(gòu)成。最后分析網(wǎng)絡(luò)安全技術(shù)的研究現(xiàn)狀和動向。

關(guān)鍵詞：網(wǎng)絡(luò)安全，防火墻，RSA算法

Abstract

Zhu Yi

(The Computer Department Of Liuan Normal University,Wuhu Liuan 241000)

Abstract:The computer network security problem, directly relates to domain the and so on a national politics, military, economy security and the stability.At present the hacker is rampant, in the average every 18seconds worlds has a time of hacker attack to occur.Therefore, enhances to the network security important understanding, enhancement guard consciousness, the strengthened guard measure, is guaranteed the information industries continues the important guarantee and the prerequisite which stably develops.In the article first elaborated the radical change which the information network security connotation occurs, elaborated our country develops the nationality information security system importance and the establishment has the Chinese characteristic the network security system necessity, as well as network safety control.Further elaborated the

network topology safe design, including to network topology analysis and to network security brief analysis.Then specifically narrated the network firewall security technology classification and it’s the main technical characteristic, the firewall deployment principle, and the position which deployed from the firewall in detail elaborated the firewall choice standard.Meanwhile has made the brief analysis on the exchange of information encryption technology classification and the RSA algorithm, elaborated its security system constitution.Finally analyzes the network security technology the research present situation and the trend.概述

21世紀(jì)全世界的計算機(jī)都將通過Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入21世紀(jì)這一信息社會、網(wǎng)絡(luò)社會的時候，我國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。

一個國家的信息安全體系實際上包括國家的法規(guī)和政策，以及技術(shù)與市場的發(fā)展平臺。我國在構(gòu)建信息防衛(wèi)系統(tǒng)時，應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品，我國要想真正解決網(wǎng)絡(luò)安全問題，最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè)，帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高。

網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點：第一，網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化；第三，隨著網(wǎng)絡(luò)在社會各個方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。目前計算機(jī)網(wǎng)絡(luò)面臨著很大的威脅，其構(gòu)成的因素是多

方面的。這種威脅將不斷給社會帶來了巨大的損失。網(wǎng)絡(luò)安全已被信息社會的各個領(lǐng)域所重視。隨著計算機(jī)網(wǎng)

絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢；給政府機(jī)構(gòu)、企事業(yè)單位帶來了革命性的改革。但由于計算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌行為的攻擊，所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。對于軍用的自動化指揮網(wǎng)絡(luò)、C3I系統(tǒng)、銀行和政府等傳輸敏感數(shù)據(jù)的計算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。因此，上述的網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個無用、甚至?xí)＜皣野踩木W(wǎng)絡(luò)。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡(luò)的脆弱性。故此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和網(wǎng)絡(luò)的脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究計算機(jī)網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫。本文就進(jìn)行初步探討計算機(jī)網(wǎng)絡(luò)安全的管理及其技術(shù)措施。

認(rèn)真分析網(wǎng)絡(luò)面臨的威脅，我認(rèn)為計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個極為復(fù)雜的系統(tǒng)工程，是一個安全管理和技術(shù)防范相結(jié)合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視，加強(qiáng)工作人員的責(zé)任心和防范意識，自覺執(zhí)行各項安全制度，在此基礎(chǔ)上，再采用先進(jìn)的技術(shù)和產(chǎn)品，構(gòu)造全方位的防御機(jī)制，使系統(tǒng)在理想的狀態(tài)下運行。

計算機(jī)網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

參考文獻(xiàn)：

[1]雷震甲.網(wǎng)絡(luò)工程師文獻(xiàn) 北京 清華大學(xué)出版社

[2] 黎連業(yè)、張維、向東明.路由器及其應(yīng)用技術(shù) 北京 清華大學(xué)出版社

網(wǎng) 絡(luò) 安 全 論

文

姓名：單澤銘 學(xué)號：1228122033

第三篇：計算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文最終版

一、計算機(jī)安全基本概述....................2

二、影響網(wǎng)絡(luò)安全的主要因素及攻擊的主要方式.............2

2.1 影響網(wǎng)絡(luò)安全的主要因素.....................2

2.2 計算機(jī)網(wǎng)絡(luò)受攻擊的主要形式.....................3

2.3 計算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生的原因..............3

三、強(qiáng)化計算機(jī)管理是網(wǎng)絡(luò)系統(tǒng)安全的保證....................3

3.1 加強(qiáng)設(shè)施管理，建立健全安全管理制度..............3

四、加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全的對策措施................4

4.1 加強(qiáng)網(wǎng)絡(luò)安全教育和管理.....................4

4.2 運用網(wǎng)絡(luò)加密技術(shù)........................4

4.3 加強(qiáng)計算機(jī)網(wǎng)絡(luò)訪問控制.....................5

4.4 使用防火墻技術(shù).....................5

五、網(wǎng)絡(luò)系統(tǒng)安全綜合解決措施................5

5.1 物理安全........................5

5.2 訪問控制安全........................5

5.3 數(shù)據(jù)傳輸安全........................5

六、結(jié)束語...........................6

淺談計算機(jī)網(wǎng)絡(luò)安全

考號：姓名：陳一涵

〔內(nèi)容提要〕

隨著計算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢，但由于計算機(jī)網(wǎng)絡(luò)聯(lián)結(jié)形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性、網(wǎng)絡(luò)資源的共享性等因素,致使網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及網(wǎng)絡(luò)上傳輸?shù)男畔⒁自馐芘既坏幕驉阂獾墓?、破壞。網(wǎng)絡(luò)安全問題也越來越突出，為確保信息的安全與暢通,我們必須不斷加強(qiáng)和提高網(wǎng)絡(luò)安全防范意識，確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。本文分析了影響網(wǎng)絡(luò)安全的主要因素及攻擊的主要方式，從管理和技術(shù)兩方面就加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全提出了針對性的建議。〔關(guān)鍵詞〕計算機(jī)網(wǎng)絡(luò) 安全 管理 攻擊防范

正文

一、計算機(jī)安全基本概述

國際標(biāo)準(zhǔn)化組織（ISO）將“計算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而 遭到破壞、更改和泄漏”。上述計算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。

計算機(jī)網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化,使用者不同,對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時受到保護(hù);而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外,還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞,以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信,保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來講,網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網(wǎng)絡(luò)安全既有技術(shù)方面的問題,也有管理方面的問題,兩方面相互補(bǔ)充,缺一不可。

二、影響網(wǎng)絡(luò)安全的主要因素及攻擊的主要方式

2.1 影響網(wǎng)絡(luò)安全的主要因素

計算機(jī)網(wǎng)絡(luò)所面臨的威脅是多方面的，既包括對網(wǎng)絡(luò)中信息的威脅，也包括對網(wǎng)絡(luò)中設(shè)備的威脅，但歸結(jié)起來，主要有三點：一是人為的無意失誤。如操作員安全配置不當(dāng)造成系統(tǒng)存在安全漏洞，用戶安全意識不強(qiáng)，口令選擇不慎，將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會給網(wǎng)絡(luò)安全帶來威脅。二是人為的惡意攻擊。這也是目前計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，比如敵手的攻擊和計算機(jī)犯罪都屬于這種情況，此類攻擊又可以分為兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對計算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。三是網(wǎng)絡(luò)軟件的漏洞和“后門”。任何一款軟件都或多或少存在漏洞，這些缺陷和漏洞恰恰就是黑客進(jìn)行攻擊的首選目標(biāo)。絕大部分網(wǎng)絡(luò)入侵事件都是因為安全措施不完善，沒有及時補(bǔ)上系統(tǒng)漏洞造成的。此外，軟件

公司的編程人員為便于維護(hù)而設(shè)置的軟件“后門”也是不容忽視的巨大威脅，一旦“后門”洞開，別人就能隨意進(jìn)入系統(tǒng)，后果不堪設(shè)想。

2.2 計算機(jī)網(wǎng)絡(luò)受攻擊的主要形式

計算機(jī)網(wǎng)絡(luò)被攻擊，主要有六種形式。①內(nèi)部竊密和破壞。內(nèi)部人員有意或無意的泄密、更改記錄信息或者破壞網(wǎng)絡(luò)系統(tǒng)。②截收信息。攻擊者可能通過搭線或在電磁輻射的范圍內(nèi)安裝截收裝置等方式，截獲機(jī)密信息或通過對信息流和流向、通信頻度和長度等參數(shù)的分析，推出有用的信息。③非法訪問。指未經(jīng)授權(quán)使用網(wǎng)絡(luò)資源或以未授權(quán)的方式使用網(wǎng)絡(luò)資源,主要包括非法用戶進(jìn)入網(wǎng)絡(luò)或系統(tǒng)進(jìn)行違法操作和合法用戶以未授權(quán)的方式進(jìn)行操作。④利用TCP/IP 協(xié)議上的某些不安全因素。目前廣泛使用TCP/IP 協(xié)議存在大量安全漏洞，如通過偽造數(shù)據(jù)包進(jìn)行，指定源路由（源點可以指定信息包傳送到目的節(jié)點的中間路由）等方式，進(jìn)行APR 欺騙和IP 欺騙攻擊。⑤病毒破壞。利用病毒占用帶寬，堵塞網(wǎng)絡(luò)，癱瘓服務(wù)器，造成系統(tǒng)崩潰或讓服務(wù)器充斥大量垃圾信息，導(dǎo)致數(shù)據(jù)性能降低。⑥其它網(wǎng)絡(luò)攻擊方式。包括破壞網(wǎng)絡(luò)系統(tǒng)的可用性，使合法用戶不能正常訪問網(wǎng)絡(luò)資源，拒絕服務(wù)甚至摧毀系統(tǒng)，破壞系統(tǒng)信息的完整性，還可能冒充主機(jī)欺騙合法用戶，非法占用系統(tǒng)資源等。

2.3 計算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生的原因

(1)網(wǎng)絡(luò)安全天生脆弱。計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的脆弱性是伴隨計算機(jī)網(wǎng)絡(luò)一同產(chǎn)生的。在網(wǎng)絡(luò)建設(shè)中,網(wǎng)絡(luò)特性決定了不可能無條件、無限制地提高其安全性能。要使網(wǎng)絡(luò)更方便快捷,又要保證網(wǎng)絡(luò)安全,這是一個非常棘手的“兩難選擇”,而網(wǎng)絡(luò)安全只能在“兩難選擇”所允許的范圍中尋找支撐點。可以說世界上任何一個計算機(jī)網(wǎng)絡(luò)都不是絕對安全的。

(2)黑客攻擊后果嚴(yán)重。近幾年,黑客猖狂肆虐,四面出擊,使交通通訊網(wǎng)絡(luò)中斷,軍事指揮系統(tǒng)失靈,電力供水系統(tǒng)癱瘓,銀行金融系統(tǒng)混亂等,危及國家的政治、軍事、經(jīng)濟(jì)的安全與穩(wěn)定,在世界各國造成了難以估量的損失。

(3)網(wǎng)絡(luò)殺手集團(tuán)化。目前,網(wǎng)絡(luò)殺手除了一般的黑客外,還有一批具有高精尖技術(shù)的“專業(yè)殺手”,更令人擔(dān)憂的是出現(xiàn)了具有集團(tuán)性質(zhì)的“網(wǎng)絡(luò)恐怖分子”甚至政府出面組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”,其規(guī)?；?、專業(yè)性和破壞程度都使其他黑客望塵莫及?？梢哉f,由政府組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”是當(dāng)前網(wǎng)絡(luò)安全的最大隱患。目前,美國正開展用無線電方式、衛(wèi)星輻射式注入方式、網(wǎng)絡(luò)方式把病毒植入敵方計算機(jī)主機(jī)或各類傳感器、網(wǎng)橋中的研究以伺機(jī)破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡(luò)系統(tǒng)。另外,為達(dá)到預(yù)定目的,對出售給潛在敵手的計算機(jī)芯片進(jìn)行暗中修改,在CPU中設(shè)置“芯片陷阱”,可使美國通過因特網(wǎng)發(fā)布指令讓敵方電腦停止工作,以起到“定時炸彈”的作用。

三、強(qiáng)化計算機(jī)管理是網(wǎng)絡(luò)系統(tǒng)安全的保證

3.1 加強(qiáng)設(shè)施管理，建立健全安全管理制度，防止非法用戶進(jìn)入計算機(jī)控制室和各種非法行為的發(fā)生；注重在保護(hù)計算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實體和通信線路免受自然災(zāi)害、人為破壞和搭線攻擊；驗證用戶的身份和使用權(quán)限，防止用戶越權(quán)操作，確保計算機(jī)網(wǎng)絡(luò)系統(tǒng)實體安全。

3.2 強(qiáng)化訪問控制策略。訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。各種安全策略必須相互配合才能真正起到保護(hù)作用，但訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

（1）訪問控制策略。它提供了第一層訪問控制。在這一層允許哪些用戶可以登錄到網(wǎng)絡(luò)服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。入網(wǎng)訪問控制可分三步實現(xiàn)：用戶名的識別與驗證；用戶口令的識別驗證；用戶帳號的檢查。三步操作中只要有任何一步未過，用戶將被拒之門外。網(wǎng)絡(luò)管理員將對普通用戶的帳號使用、訪問網(wǎng)絡(luò)時間、方式進(jìn)行管理，還能控制用戶登錄入網(wǎng)的站點以及限制用戶入網(wǎng)的工作站數(shù)量。

（2）網(wǎng)絡(luò)權(quán)限控制策略。它是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。

共分三種類型：特殊用戶（如系統(tǒng)管理員）；一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限；審計用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計。

(３)建立網(wǎng)絡(luò)服務(wù)器安全設(shè)置。網(wǎng)絡(luò)服務(wù)器的安全控制包括設(shè)置口令鎖定服務(wù)器控制臺；設(shè)置服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔；安裝非法訪問設(shè)備等。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入INTERNET網(wǎng)絡(luò)為甚。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和INTERNET之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

(４)信息加密策略。信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有線路加密、端點加密和節(jié)點加密三種。線路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點之間的線路信息安全；端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸線路提供保護(hù)。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。

（5）屬性安全控制策略。當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張訪問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件，防止用戶對目錄和文件的誤刪、執(zhí)行修改、顯示等。

（6）建立網(wǎng)絡(luò)智能型日志系統(tǒng)。日志系統(tǒng)具有綜合性數(shù)據(jù)記錄功能和自動分類檢索能力。在該系統(tǒng)中，日志將記錄自某用戶登錄時起，到其退出系統(tǒng)時止，所執(zhí)行的所有操作，包括登錄失敗操作，對數(shù)據(jù)庫的操作及系統(tǒng)功能的使用。日志所記錄的內(nèi)容有執(zhí)行某操作的用戶所執(zhí)行操作的機(jī)器IP地址、操作類型、操作對象及操作執(zhí)行時間等，以備日后審計核查之用。

四、加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全的對策措施

4.1 加強(qiáng)網(wǎng)絡(luò)安全教育和管理：對工作人員結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個方面安全問題，進(jìn)行安全教育，提高工作人員的安全觀念和責(zé)任心；加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn)，提高操作技能；教育工作人員嚴(yán)格遵守操作規(guī)程和各項保密規(guī)定，防止人為事故的發(fā)生。同時，要保護(hù)傳輸線路安全。對于傳輸線路，應(yīng)有露天保護(hù)措施或埋于地下，并要求遠(yuǎn)離各種輻射源，以減少各種輻__射引起的數(shù)據(jù)錯誤；線纜鋪設(shè)應(yīng)當(dāng)盡可能使用光纖，以減少各種輻射引起的電磁泄漏和對發(fā)送線路的干擾。要定期檢查連接情況，以檢測是否有搭線竊聽、非法外連或破壞行為。

4.2 運用網(wǎng)絡(luò)加密技術(shù)：網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種：①鏈接加密。在網(wǎng)絡(luò)節(jié)點間加密，在節(jié)點間傳輸加密的信息，傳送到節(jié)點后解密，不同節(jié)點間用不同的密碼。②節(jié)點加密。與鏈接加密類似，不同的只是當(dāng)數(shù)據(jù)在節(jié)點間傳送時，不用明碼格式傳送，而是用特殊的加密硬件進(jìn)行解密和重加密，這種專用硬件通常放置在安全保險箱中。③首尾加密。對進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)加密，然后待數(shù)據(jù)從網(wǎng)絡(luò)傳送出后再進(jìn)行解密。網(wǎng)絡(luò)的加密技術(shù)很多，在實際應(yīng)用中，人們通常根據(jù)各種加密算法結(jié)合在一起使用，這樣可以更加有效地加強(qiáng)網(wǎng)絡(luò)的完全性。網(wǎng)絡(luò)加密技術(shù)也是網(wǎng)絡(luò)安全最有效的技術(shù)之一。既可以對付惡意軟件攻擊，又可以防止非授權(quán)用戶的訪問。

4.3 加強(qiáng)計算機(jī)網(wǎng)絡(luò)訪問控制：訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問，也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。訪問控制技術(shù)主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點的安全控制。根據(jù)網(wǎng)絡(luò)安全的等級、網(wǎng)絡(luò)空間的環(huán)境不同，可靈活地設(shè)置訪問控制的種類和數(shù)量。

4.4 使用防火墻技術(shù)：采用防火墻技術(shù)是解決網(wǎng)絡(luò)安全問題的主要手段。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。防火墻是在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng)，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機(jī)制，并且本身具有較強(qiáng)的抗攻擊能力。在邏輯上，防火墻是一個分離器、限制器和分析器，可以有效地監(jiān)控內(nèi)部網(wǎng)和Internet 之間的任何活動，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻的應(yīng)用可最大限度地保障網(wǎng)絡(luò)的正常運行，它可以起著提高內(nèi)部網(wǎng)絡(luò)的安全性、強(qiáng)化網(wǎng)絡(luò)安全策略、防止內(nèi)部信息泄漏、網(wǎng)絡(luò)防毒、信息加密、存儲通信、授權(quán)、認(rèn)證等重要作用。

五、網(wǎng)絡(luò)系統(tǒng)安全綜合解決措施

要想實現(xiàn)網(wǎng)絡(luò)安全功能，應(yīng)對網(wǎng)絡(luò)系統(tǒng)進(jìn)行全方位防范，從而制定出比較合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。下面就網(wǎng)絡(luò)系統(tǒng)的安全問題，提出一些防范措施。

5.1 物理安全。物理安全可以分為兩個方面：一是人為對網(wǎng)絡(luò)的損害；二是網(wǎng)絡(luò)對使用者的危害。網(wǎng)絡(luò)對使用者的危害主要是電纜的電擊、高頻信號的幅射等，這需要對網(wǎng)絡(luò)的絕緣、接地和屏蔽工作做好。

5.2 訪問控制安全。訪問控制識別并驗證用戶，將用戶限制在已授權(quán)的活動和資源范圍之內(nèi)。網(wǎng)絡(luò)的訪問控制安全可以從以下幾個方面考慮。

（1）口令。網(wǎng)絡(luò)安全系統(tǒng)的最外層防線就是網(wǎng)絡(luò)用戶的登錄，在注冊過程中，系統(tǒng)會檢查用戶的登錄名和口令的合法性，只有合法的用戶才可以進(jìn)入系統(tǒng)。

（2）網(wǎng)絡(luò)資源屬主、屬性和訪問權(quán)限。網(wǎng)絡(luò)資源主要包括共享文件、共享打印機(jī)、網(wǎng)絡(luò)通信設(shè)備等網(wǎng)絡(luò)用戶都有可以使用的資源。資源屬主體現(xiàn)了不同用戶對資源的從屬關(guān)系，如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性，如可被誰讀、寫或執(zhí)行等。訪問權(quán)限主要體現(xiàn)在用戶對網(wǎng)絡(luò)資源的可用程度上。利用指定網(wǎng)絡(luò)資源的屬主、屬性和訪問權(quán)限可以有效地在應(yīng)用級控制網(wǎng)絡(luò)系統(tǒng)的安全性。

（3）網(wǎng)絡(luò)安全監(jiān)視。網(wǎng)絡(luò)監(jiān)視通稱為“網(wǎng)管”，它的作用主要是對整個網(wǎng)絡(luò)的運行進(jìn)行動態(tài)地監(jiān)視并及時處理各種事件。通過網(wǎng)絡(luò)監(jiān)視可以簡單明了地找出并解決網(wǎng)絡(luò)上的安全問題，如定位網(wǎng)絡(luò)故障點、捉住IP盜用者、控制網(wǎng)絡(luò)訪問范圍等。

（4）審計和跟蹤。網(wǎng)絡(luò)的審計和跟蹤包括對網(wǎng)絡(luò)資源的使用、網(wǎng)絡(luò)故障、系統(tǒng)記帳等方面的記錄和分析。

5.3 數(shù)據(jù)傳輸安全。傳輸安全要求保護(hù)網(wǎng)絡(luò)上被傳輸?shù)男畔ⅲ苑乐贡粍拥睾椭鲃拥厍址?。對?shù)據(jù)傳輸安全可以采取如下措施：

（1）加密與數(shù)字簽名。任何良好的安全系統(tǒng)必須包括加密！這已成為既定的事實。數(shù)字簽名是數(shù)據(jù)的接收者用來證實數(shù)據(jù)的發(fā)送者確實無誤的一種方法，它主要通過加密算法和證實協(xié)議而實現(xiàn)。

（2）防火墻。防火墻（Firewall）是Internet上廣泛應(yīng)用的一種安全措施，它可以設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它能通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地檢測網(wǎng)絡(luò)內(nèi)外信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

（3）User Name/Password認(rèn)證。該種認(rèn)證方式是最常用的一種認(rèn)證方式，用于操作系

統(tǒng)登錄、telnet（遠(yuǎn)程登錄）、rlogin（遠(yuǎn)程登錄）等，但此種認(rèn)證方式過程不加密，即password容易被監(jiān)聽和解密。

（4）使用摘要算法的認(rèn)證。Radius（遠(yuǎn)程撥號認(rèn)證協(xié)議）、OSPF（開放路由協(xié)議）、SNMP Security Protocol等均使用共享的Security Key（密鑰），加上摘要算法（MD5）進(jìn)行認(rèn)證，但摘要算法是一個不可逆的過程，因此，在認(rèn)證過程中，由摘要信息不能計算出共享的security key，所以敏感信息不能在網(wǎng)絡(luò)上傳輸。市場上主要采用的摘要算法主要有MD5和SHA-1。

（5）基于PKI的認(rèn)證。使用PKI（公開密鑰體系）進(jìn)行認(rèn)證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數(shù)字簽名等技術(shù)，很好地將安全性和高效性結(jié)合起來。這種認(rèn)證方法目前應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問、客戶認(rèn)證、防火墻認(rèn)證等領(lǐng)域。該種認(rèn)證方法安全程度很高，但是涉及到比較繁重的證書管理任務(wù)。

（6）虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)。VPN技術(shù)主要提供在公網(wǎng)上的安全的雙向通訊，采用透明的加密方案以保證數(shù)據(jù)的完整性和保密性。VPN技術(shù)的工作原理：VPN系統(tǒng)可使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上實現(xiàn)安全通信，它采用復(fù)雜的算法來加密傳輸?shù)男畔ⅲ沟妹舾械臄?shù)據(jù)不會被竊聽。

六、結(jié)束語

對于計算機(jī)網(wǎng)絡(luò)傳輸?shù)陌踩珕栴}，我們必須要做到以下幾點。第一，應(yīng)嚴(yán)格限制上網(wǎng)用戶所訪問的系統(tǒng)信息和資源，這一功能可通過在訪問服務(wù)器上設(shè)置NetScreen防火墻來實現(xiàn)。第二，應(yīng)加強(qiáng)對上網(wǎng)用戶的身份認(rèn)證，使用RADIUS等專用身份驗證服務(wù)器。一方面，可以實現(xiàn)對上網(wǎng)用戶帳號的統(tǒng)一管理；另一方面，在身份驗證過程中采用加密的手段，避免用戶口令泄露的可能性。第三，在數(shù)據(jù)傳輸過程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。一種方法是使用PGP for Business Security對數(shù)據(jù)加密。另一種方法是采用NetScreen防火墻所提供的VPN技術(shù)。VPN在提供網(wǎng)間數(shù)據(jù)加密的同時，也提供了針對單機(jī)用戶的加密客戶端軟件，即采用軟件加密的技術(shù)來保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

網(wǎng)絡(luò)安全與網(wǎng)絡(luò)的發(fā)展戚戚相關(guān)。網(wǎng)絡(luò)安全是一個系統(tǒng)的工程，不能僅依靠、殺毒軟件、防火墻、漏洞檢測等等硬件設(shè)備的防護(hù)，還要意識到計算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個人機(jī)系統(tǒng)，安全保護(hù)的對象是計算機(jī),而安全保護(hù)的主體則是人，應(yīng)重視對計算機(jī)網(wǎng)絡(luò)安全的硬件產(chǎn)品開發(fā)及軟件研制，建立一個好的計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)，也應(yīng)注重樹立人的計算機(jī)安全意識，才可能 防微杜漸。把可能出現(xiàn)的損失降低到最低點，才能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。

〔參考文獻(xiàn)〕

1、謝希仁著：《計算機(jī)網(wǎng)路簡明教程》[M].電子工業(yè)出版社。2007年版

2、高性能網(wǎng)絡(luò)技術(shù)教程[M].清華大學(xué)出版社。2002年版

3、《網(wǎng)絡(luò)常見攻擊技術(shù)與防范完全手冊》

4、《現(xiàn)行主要網(wǎng)絡(luò)安全技術(shù)介紹》

5、《防火墻概念與訪問控制列表》

6、《網(wǎng)絡(luò)攻擊概覽》

7、《加密技術(shù)的方方面面》

第四篇：計算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文[小編推薦]

計算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文

課題名稱：計算機(jī)網(wǎng)絡(luò)安全 姓名：

班級：信息系092班 專業(yè)：計算機(jī)應(yīng)用 指導(dǎo)教師： 完成日期：

論文摘要: 21世紀(jì)的一些重要特征就是數(shù)字化，網(wǎng)絡(luò)化和信息化，它是一個以網(wǎng)絡(luò)為核心的信息時代。隨著計算機(jī)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)信息已經(jīng)成為社會發(fā)展的重要組成部分。它涉及到政府、經(jīng)濟(jì)、文化、軍事等諸多領(lǐng)域。由于計算機(jī)網(wǎng)絡(luò)組成形式多樣性、終端分布廣和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)信息容易受到來自黑客竊取、計算機(jī)系統(tǒng)容易受惡意軟件攻擊，因此，網(wǎng)絡(luò)信息資源的安全及管理維護(hù)成為當(dāng)今信息話時代的一個重要話題。

文中首先論述了信息網(wǎng)絡(luò)安全內(nèi)涵發(fā)生的根本變化,闡述了我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網(wǎng)絡(luò)安全體系的必要性,以及網(wǎng)絡(luò)面臨的安全性威脅（黑客入侵）及管理維護(hù)（防火墻安全技術(shù)）。進(jìn)一步闡述了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全設(shè)計，包括對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分析和對網(wǎng)絡(luò)安全的淺析。然后具體講述了網(wǎng)絡(luò)防火墻安全技術(shù)的分類及其主要技術(shù)特征，防火墻部署原則，并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)。同時就信息交換加密技術(shù)的分類及RSA算法做了簡要的分析，論述了其安全體系的構(gòu)成。

關(guān)鍵詞：信息安全 網(wǎng)絡(luò) 防火墻 數(shù)據(jù)加密

目錄

首頁........................................................................1 目錄........................................................................3 第一章 1.1 1.2 1.3 引言

概述.................................................................4 網(wǎng)絡(luò)安全技術(shù)的研究目的 意義和背景....................................4 計算機(jī)網(wǎng)絡(luò)安全的含義.................................................5 第二章 網(wǎng)絡(luò)安全初步分析 2.1 網(wǎng)絡(luò)安全的必要性.....................................................6 2.2 網(wǎng)絡(luò)的安全管理.......................................................6 2.2.1安全管理原則.................................................6 2.2.2安全管理的實現(xiàn).................................................7 2.3 采用先進(jìn)的技術(shù)和產(chǎn)品

2.3.1 防火墻技術(shù)....................................................7 2.3.2 數(shù)據(jù)加密技術(shù)..................................................7 2.3.3 認(rèn)證技術(shù)......................................................7 2.3.4 計算機(jī)病毒的防范..............................................7 2.4 常見的網(wǎng)絡(luò)攻擊及防范對策...............................................8 2.4.1 特洛伊木馬....................................................8 2.4.4 淹沒攻擊......................................................8 第三章 網(wǎng)絡(luò)攻擊分析........................................................9 第四章 網(wǎng)絡(luò)安全技術(shù)

4.1 防火墻的定義和選擇......................................................12 4.2 加密技術(shù)................................................................12 4.2.1 對稱加密技術(shù).....................................................12 4.2.2 非對稱加密/公開密鑰加密..........................................12.4.2.3 RSA算法.........................................................12 4.3注冊與認(rèn)證管理...........................................................13 4.3.1 認(rèn)證機(jī)構(gòu)...........................................................13 4.3.2 注冊機(jī)構(gòu)..........................................................13 4.3.3 密鑰備份和恢復(fù)....................................................13 第五章 安全技術(shù)的研究

5.1 安全技術(shù)的研究現(xiàn)狀和方向................................................14 5.1.1 包過濾型..........................................................14 5.1.2 代理型............................................................14

結(jié)束語.....................................................................15 參 考 文 獻(xiàn)

第一章 引言

1.1 概述

我們知道, 21世紀(jì)的一些重要特征就是數(shù)字化,網(wǎng)絡(luò)化和信息化,它是一個以網(wǎng)絡(luò)為核心的信息時代。要實現(xiàn)信息化就必須依靠完善的網(wǎng)絡(luò)，因為網(wǎng)絡(luò)可以非常迅速的傳遞信息。因此網(wǎng)絡(luò)現(xiàn)在已成為信息社會的命脈和發(fā)展知識經(jīng)濟(jì)的基礎(chǔ)。

隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)中的安全問題也日趨嚴(yán)重。當(dāng)網(wǎng)絡(luò)的用戶來自社會各個階層與部門時，大量在網(wǎng)絡(luò)中存儲和傳輸?shù)臄?shù)據(jù)就需要保護(hù)。當(dāng)人類步入21世紀(jì)這一信息社會、網(wǎng)絡(luò)社會的時候，我國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國特色的網(wǎng)絡(luò)安全體系。

一個國家的安全體系實際上包括國家的法律和政策，以及技術(shù)與市場的發(fā)展平臺。我國在構(gòu)建信息信息防衛(wèi)系統(tǒng)時,應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品,我國要想真正解決網(wǎng)絡(luò)安全問題,最終的辦法就是通過發(fā)展名族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高。

網(wǎng)絡(luò)安全產(chǎn)品有以下幾個特點：第一，網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷的變化；第三，隨著網(wǎng)絡(luò)在社會各個方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷的向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

信息安全是國家發(fā)展所面臨的一個重要問題，對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應(yīng)該看到它對我國未來數(shù)字化、網(wǎng)絡(luò)化、信息化的發(fā)展將起到非常重要的作用。

1.2 網(wǎng)絡(luò)安全技術(shù)的研究目的、意義和背景

目前計算機(jī)網(wǎng)絡(luò)面臨著很大的威脅，其構(gòu)成的因素是多方面的。這種威脅將不斷給社會帶來巨大的損失。網(wǎng)絡(luò)安全已被信息社會的各個領(lǐng)域所重視。

隨著計算機(jī)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢；給政府機(jī)構(gòu)、企事業(yè)單位帶來了革命性的改革。但由于計算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)容易受黑客、病毒、惡意軟件和其他不軌行為的攻擊，所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。對于軍用的自動化指揮網(wǎng)絡(luò)、C3I系統(tǒng)、銀行和政府等傳輸銘感數(shù)據(jù)的計算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全性和保密性尤為重要。因此，上述的網(wǎng)絡(luò)必須要有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個無用、甚至?xí)C(jī)國家安全的網(wǎng)絡(luò)。無論是在局域網(wǎng)中還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡(luò)的脆弱性，故此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位的針對各種不同的威脅和網(wǎng)絡(luò)的脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性、和可行。為了確保信息安的安全與暢通，研究計算機(jī)網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫。本文就進(jìn)行初步探討計算機(jī)網(wǎng)絡(luò)安全的管理及技術(shù)措施。

認(rèn)真分析網(wǎng)絡(luò)面臨的威脅，我認(rèn)為計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個極為復(fù)雜的系統(tǒng)工程，是一個安全管理和技術(shù)防范相結(jié)合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視，加強(qiáng)工作人員的責(zé)任心和防范意識，自覺執(zhí)行各項安全制度，在此基礎(chǔ)上，再采用現(xiàn)金的技術(shù)和產(chǎn)品，構(gòu)造全防衛(wèi)的防御機(jī)制，使系統(tǒng)在理想的狀態(tài)下運行。

1.3 計算機(jī)網(wǎng)絡(luò)安全的含義

計算機(jī)網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者的不同，對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的災(zāi)害，軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件極其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

第二章 網(wǎng)絡(luò)安全初步分析

2.1 網(wǎng)絡(luò)安全的必要性

隨著計算機(jī)技術(shù)的不斷發(fā)展，計算機(jī)網(wǎng)絡(luò)已經(jīng)成為信息時代的重要特征。人們稱它為信息高速公路。網(wǎng)絡(luò)是計算機(jī)技術(shù)和通信技術(shù)的產(chǎn)物，適應(yīng)社會對信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設(shè)自己的信息高速公路。我國近年來計算機(jī)網(wǎng)絡(luò)發(fā)展的速度也很快，在國防、電信、銀行、廣播等方面都有廣泛的應(yīng)用。我相信在不長的時間里，計算機(jī)網(wǎng)絡(luò)一定會得到極大的發(fā)展，那時將全面進(jìn)入信息時代。正因為網(wǎng)絡(luò)應(yīng)用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的。

2.2 網(wǎng)絡(luò)的安全管理

面對網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)安全的安全管理，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問題。

2.2.1安全管理原則

網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于3個原則：

① 多人負(fù)責(zé)原則

每一項與安全有關(guān)的活動，都必須有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠可靠，能勝任此項工作；他們應(yīng)該簽署工作情況記錄以證明安全工作以得到保障。與安全有關(guān)的活動有：訪問控制使用證件的發(fā)放與回收，信息處理系統(tǒng)使用的媒介發(fā)放與回收，處理保密信息，硬件與軟件的維護(hù)，系統(tǒng)軟件的設(shè)計、實現(xiàn)和修改，重要數(shù)據(jù)的刪除和銷毀等。

② 任期有限原則

一般來講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期的循環(huán)任職，強(qiáng)制實行休假制度，并規(guī)定對工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實可行。③ 職責(zé)分離原則

除非經(jīng)系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情。出于對安全的考慮，下面每組內(nèi)的兩項信息處理工作應(yīng)當(dāng)分開：計算機(jī)操作與計算機(jī)編程、機(jī)密資料的接收與傳送、安全管理與系統(tǒng)管理、應(yīng)用程序和系統(tǒng)程序的編制、訪問證件的管理與其他工作、計算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。

2.2.2 安全管理的實現(xiàn)

信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制定相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是:

① 根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級。②

根據(jù)確定的安全等級，確定安全管理范圍。

③

制定相應(yīng)的機(jī)房出入管理制度，對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件識別或安裝自動識別系統(tǒng)，采用此卡、身份卡等手段，對人員進(jìn)行識別，登記管理。

2.3 采用先進(jìn)的技術(shù)和產(chǎn)品

要保證計算機(jī)網(wǎng)絡(luò)安全的安全性，還要采用一些先進(jìn)的技術(shù)和產(chǎn)品。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種。

2.3.1 防火墻技術(shù)

為保證網(wǎng)絡(luò)安全，防止外部網(wǎng)對內(nèi)部網(wǎng)的非法入侵，在被保護(hù)的網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間設(shè)置一道屏障這就稱為防火墻。它是一個或一組系統(tǒng)，該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。它可以監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，確認(rèn)其來源及去處，檢查數(shù)據(jù)的格式及內(nèi)容，并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有：應(yīng)用層網(wǎng)關(guān)、數(shù)據(jù)包過濾、代理服務(wù)器等幾大類型。

2.3.2 數(shù)據(jù)加密技術(shù)

與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)，是為了提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國除了從法律上、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外，從技術(shù)上分別在軟件和硬件兩方面采取措施，推動著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。按作用的不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。

2.3.3 認(rèn)證技術(shù)

認(rèn)證技術(shù)是防止主動攻擊的重要手段，它對于開放環(huán)境中的各種信息的安全有重要作用。認(rèn)證是指驗證一個最終用戶或設(shè)備的身份過程，即認(rèn)證建立信息的發(fā)送者或接受者的身份。認(rèn)證的主要目的有兩個：第一，驗證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號源識別；第二，驗證信息的完整性，保證信息在傳送過程中未被篡改或延遲等。目前使用的認(rèn)證技術(shù)主要有：消息認(rèn)證、身份認(rèn)證、數(shù)字簽名。

2.3.4 計算機(jī)病毒的防范

首先要加強(qiáng)工作人員防病毒的意識，其次是安裝好的殺毒軟件。合格的防病毒軟件應(yīng)該具備以下條件：

① 較強(qiáng)的查毒、殺毒能力。在當(dāng)前全球計算機(jī)網(wǎng)絡(luò)上流行的計算機(jī)病毒有4萬多種，在各種操作系統(tǒng)中包括Windows、UNIX 和 Netware 系統(tǒng)都有大量能夠造成危害的計算機(jī)病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查殺、殺毒范圍廣、能力強(qiáng)的特點。② 完善的升級服務(wù)。與其他軟件相比，防病毒軟件更需要不斷的更新升級，以查殺層出不窮的計算機(jī)病毒。

2.4 常見的網(wǎng)絡(luò)攻擊和防范對策

2.4.1 特洛伊木馬

特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時，表面上是執(zhí)行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬的程序包括兩部分，即實現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。特洛伊木馬具有很強(qiáng)的生命力，在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的過程中，從而使它們受到感染。此類攻擊對計算機(jī)的危害極大，通過特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫未經(jīng)授權(quán)的文件，甚至可以獲得對被攻擊的計算機(jī)的控制權(quán)。

防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時，對每一個文件進(jìn)行數(shù)字簽名，而在運行文件時通過對數(shù)字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽TCP服務(wù)。

2.4.2 郵件炸彈

郵件炸彈是最古老的匿名攻擊之一，通過設(shè)置一臺機(jī)器不斷的大量的向同以地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬，占據(jù)郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，妨礙計算機(jī)的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過計算機(jī)網(wǎng)絡(luò)對某一目標(biāo)的報復(fù)活動中。

防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進(jìn)行配置，自動刪除來自同一主機(jī)的過量或重復(fù)消息，也可以使自己的SMTP連接只能達(dá)成指定的服務(wù)器，從而免受外界郵件的侵襲。

2.4.3 過載攻擊

過載攻擊是攻擊者通過服務(wù)器長時間發(fā)出大量無用的請求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用的最多的一種方法是進(jìn)程攻擊，它是通過大量地進(jìn)行人為的增大CPU的工作量，耗費CPU的工作時間，使其它的用戶一直處于等待狀態(tài)。

防止過載攻擊的方法有：限制單個用戶所擁有的最大進(jìn)程數(shù)；殺死一些耗時的進(jìn)程。然而，不幸的是這兩種方法都存在著一定的負(fù)面效應(yīng)。通過對單個用戶所擁有的最大進(jìn)程數(shù)的限制和耗時進(jìn)程的刪除，會使用戶某些正常的請求得不到系統(tǒng)的響應(yīng)，從而出現(xiàn)類似拒絕服務(wù)的現(xiàn)象。通常，管理員可以使用網(wǎng)絡(luò)監(jiān)視工具來發(fā)現(xiàn)這種攻擊，通過主機(jī)列表和網(wǎng)絡(luò)地址列表來的所在，也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟是來自于網(wǎng)絡(luò)內(nèi)部還是網(wǎng)絡(luò)外部。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。2.4.4 淹沒攻擊

正常情況下，TCP連接建立要經(jīng)過3次握手的過程，即客戶機(jī)向客戶機(jī)發(fā)送SYN請求信號；目標(biāo)主機(jī)收到請求信號后向客戶機(jī)發(fā)送SYN/ACK消息；客戶機(jī)收到SYN/ACK消息后再向主機(jī)發(fā)送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會。攻擊者可以使用一個不存在或當(dāng)時沒有被使用的主機(jī)的IP地址，向被攻擊主機(jī)發(fā)出SYN請求信號，當(dāng)被攻擊主機(jī)收到SYN請求信號后，它向這臺不存在IP地址的偽裝主機(jī)發(fā)出SYN/消息。由于此時的主機(jī)IP不存在或當(dāng)時沒有被使用所以無法向主機(jī)發(fā)送RST，因此，造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時。如果攻擊者不斷的向被攻擊的主機(jī)發(fā)送SYN請求，被攻擊主機(jī)就一直處于等待狀態(tài)，從而無法響應(yīng)其他用戶請求。

對付淹沒攻擊的最好方法就是實時監(jiān)控系統(tǒng)處于SYN-RECEIVED狀態(tài)的連接數(shù)，當(dāng)連接數(shù)超過某一給定的數(shù)值時，實時關(guān)閉這些連接。

第三章 網(wǎng)絡(luò)攻擊分析

攻擊是指非授權(quán)行為。攻擊的范圍從簡單的使服務(wù)器無法提供正常的服務(wù)到安全破壞、控制服務(wù)器。在網(wǎng)絡(luò)上成功實施的攻擊級別以來于擁護(hù)采取的安全措施。

在此先分析下比較流行的攻擊Dodos分布式拒絕服務(wù)攻擊：Does是Denial of Service的簡稱，即拒絕服務(wù)，造成Does的攻擊行為被稱為Does攻擊，其目的是使計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的Does攻擊有計算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求就無法通過。連通性攻擊是指用大量的連接請求沖擊計算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機(jī)無法再處理合法用戶的請求。而分布式拒絕服務(wù)（DDoS:Distributed Denial of Service）攻擊是借助于客戶/服務(wù)器技術(shù)，將多個計算機(jī)聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機(jī)上，在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在 Internet 上的許多計算機(jī)上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。而且現(xiàn)在沒有有限的方法來避免這樣的攻擊。因為此攻擊基于TCP/IP 協(xié)議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做到的那我們要如何放置呢？

1.確保所有服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁。計算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個受到DDoS攻擊的系統(tǒng)都沒有及時打上補(bǔ)丁。

2.確保管理員對所有主機(jī)進(jìn)行檢查，而不僅針對關(guān)鍵主機(jī)。這是為了確保管理員知道每個主機(jī)系統(tǒng)在 運行什么？ 誰在使用主機(jī)？ 哪些人可以訪問主機(jī)？ 不然，即使黑客侵犯了系統(tǒng)，也很難查明。

3.確保從服務(wù)器相應(yīng)的目錄或文件數(shù)據(jù)庫中刪除未使用的服務(wù)如FTP或NFS.等守護(hù)程序存在一些已知的漏洞，黑客通過根攻擊就能獲得訪問特權(quán)系統(tǒng)的權(quán)限，并能訪問其他系統(tǒng)—甚至是受防火墻保護(hù)的系統(tǒng)。

4.確保運行在 Unix上的所有服務(wù)都有TCP封裝程序，限制對主機(jī)的訪問權(quán)。5.禁止內(nèi)部網(wǎng)通過Modem連接至PSTN 系統(tǒng)。否則，黑客能通過電話線發(fā)現(xiàn)未受保護(hù)的主機(jī)，即刻就能訪問極為機(jī)密的數(shù)據(jù)。

6.禁止使用網(wǎng)絡(luò)訪問程序如 Telnet、Ftp、Rsh、Rlogin 和Rcp，以基于PKI的訪問程序如SSH取代。SSH不會在網(wǎng)上以明文格式傳遞口令，而Telnet和 Rlogin 則正好相反，黑客能搜尋到這些口令，從而立即訪問網(wǎng)絡(luò)上的重要服務(wù)器。此外，在Unix上應(yīng)該將.rhost 和 hosts.equiv 文件刪除,因為不用猜口令,這些文件就會提供登錄訪問!7.限制在防火墻外與網(wǎng)絡(luò)文件共享。這會使黑客有機(jī)會截獲系統(tǒng)文件，并以特洛伊木馬替換他，文件傳輸功能無異將陷入癱瘓。

8.確保手頭上有一張最新的網(wǎng)絡(luò)拓?fù)鋱D。這張圖應(yīng)該詳細(xì)標(biāo)明TCP/IP地址、主機(jī)、路由器及其他網(wǎng)絡(luò)設(shè)備，還應(yīng)該包括網(wǎng)絡(luò)邊界、非軍事區(qū)（DMZ）及網(wǎng)絡(luò)的內(nèi)部保密部分。

9.在防火墻上運行端口映射程序或端口掃描程序。大多數(shù)時間是由于防火墻配置不當(dāng)造成的，使DoS/ DDoS攻擊成功率很高，所以一定要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。

10.檢查所有網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)紕漏或時間出現(xiàn)變更，幾乎可以坑定：相關(guān)的主機(jī)安全收到了威脅。

第四章 網(wǎng)絡(luò)安全技術(shù)

4.1 防火墻的定義和選擇

4.1.1防火墻的定義

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。

目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)（代理服務(wù)器）以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。

作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸。但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務(wù)，同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客入侵等方向發(fā)展。

4.1.2 防火墻的選擇

總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其總擁有成本（TCO）不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例，假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價值為10萬元，則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當(dāng)然，對于關(guān)鍵部門來說，其所造成的負(fù)面影響和連帶損失也不應(yīng)該考慮在內(nèi)。如果僅作粗略估算，非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本，關(guān)鍵部門則應(yīng)另當(dāng)別論選擇防火墻的標(biāo)準(zhǔn)有很多，但最重要的是以下兩條：

（1）防火墻本身是安全的

作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應(yīng)該保證安全，不給外部侵入者以可乘之機(jī)。如果像瑪奇諾防線一樣，正面雖然牢不可破，但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部，網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。

通常，防火墻的安全性問題來自兩個方面：其一是防火墻本身的設(shè)計是否合理，其二是使用不當(dāng)。一般來說，防火墻的許多配置需要系統(tǒng)管理員手工修改，如果系統(tǒng)管理員對防火墻十分不熟悉，就有可能在配置過程中遺留大量的安全漏洞。

（2）可擴(kuò)充性

在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期，由于內(nèi)部信息系統(tǒng)的規(guī)模較小，遭受攻擊造成的損失也較小，因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加，網(wǎng)絡(luò)的風(fēng)險成本也會急劇上升，此時便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴(kuò)充性，或擴(kuò)充成本極高，這便是對投資的浪費。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間，在安全水平要求不高的情況下，可以只選購基本系統(tǒng)，而隨著要求的提供，用戶仍然有進(jìn)一步增加選擇的余地。這樣不僅能夠保護(hù)用戶的投資，對提供防火墻產(chǎn)品的廠商來說，也擴(kuò)大產(chǎn)品的覆蓋面。

4.2 加密技術(shù) 信息交換加密技術(shù)分為兩類:即對稱加密和非對稱加密.4.2.1 對稱加密技術(shù)

在對稱加密技術(shù)中,對信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖.這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄漏，那么機(jī)密性和報文完整性就可以得以保證。對稱加密技術(shù)也存在一些不足，如果交換一方有N個交換對象，那么他就要維護(hù)N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方。如三重DES是DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）的一種變形，這種方法使用兩個獨立的56位密鑰對信息進(jìn)行3次加密，從而使有效密鑰長度達(dá)到112位。

4.2.2 非對稱加密技術(shù)

在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛分布，但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。

4.2.3 RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制。其安全性是基于分散大整數(shù)的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分散兩大素數(shù)之積。RSA算法的描述如下：

公開密鑰： n=pq(p、q 分別為兩個互異的大素數(shù)，p、q 必須保密)e與(p-1)(q-1)互素

私有密鑰：d=e-1 {mod(p-1)(q-1)} 加密：c=me(mod n)，其中 m 為明文，c為密文。

解密：m=cd(mod n)利用目前已經(jīng)掌握的只是和理論，分解2048bit的大整數(shù)已經(jīng)超過了64位計算機(jī)的運算能力，因此在目前和預(yù)見的將來，它是足夠安全的。

4.3 注冊與認(rèn)證管理

4.3.1 認(rèn)證機(jī)構(gòu)

CA（Certification Authorty）就是這樣一個確保信任度的權(quán)威實體，它的主要職責(zé)是頻發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明一證書，任何相信該CA的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。構(gòu)建一個具有較強(qiáng)安全性的CA是至關(guān)重要的，這不僅與密碼學(xué)有關(guān)系，而且還與整個PKI系統(tǒng)的構(gòu)架和模型有關(guān)。

4.3.2 注冊機(jī)構(gòu)

RA(Registration Authority)是用戶和CA的借口，它所獲得的用戶標(biāo)識的準(zhǔn)確性是CA發(fā)給證書的基礎(chǔ)。RA不僅要支持面對面的登記，也必須支持遠(yuǎn)程登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設(shè)計和實現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。

4.3.3 密鑰備份和恢復(fù)

為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù)，也是關(guān)系到整個PKI系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。

4.3.4 證書管理與撤銷系統(tǒng)

證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤銷，證書撤銷的理由是各種各樣的。可能包括工作變動到對密鑰懷疑等一系列原因。證書撤銷系統(tǒng)實現(xiàn)是利用周期性的發(fā)布機(jī)制撤銷證書或采用在線查詢機(jī)制，隨時查詢被撤銷的證書。

第五章 安全技術(shù)的研究

5.1 安全技術(shù)的研究現(xiàn)狀和方向

我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計算機(jī)技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機(jī)整體。根據(jù)防火墻所采用的技術(shù)不同，將它分為4個基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換-NAT、代理型和監(jiān)測型。

5.2 包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會含一些特定信息，防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一單發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制定判斷規(guī)則。

包過濾技術(shù)的優(yōu)點是簡單實用，實現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。

但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無法識別基于應(yīng)用層的惡意侵入。

5.3 代理型

代理型的安全性能要高過包過濾型，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看，代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器；從服務(wù)器來看，代理服務(wù)器又是一臺真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

代理型防火墻的優(yōu)點是安全性較高，可以針對應(yīng)用層進(jìn)行偵測和掃描，對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。

實際上，作為當(dāng)前防火墻產(chǎn)品的主流趨勢，大多數(shù)代理服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包過濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的，應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。正是由于應(yīng)用網(wǎng)關(guān)的這些特點，使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。

結(jié)束語

互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為了人們不可缺少的通信工具，其發(fā)展速度也快的驚人，以此而來的攻擊破壞層出不窮，為了有效的防止入侵把損失降到最低，我們必須適合注意安全問題，使用盡量多而可靠的安全工具經(jīng)常維護(hù)，讓我們的網(wǎng)絡(luò)體系完善可靠。在英特網(wǎng)為我們提供了大量的機(jī)會和便利的同時，也在安全性方面給我們帶來了巨大的挑戰(zhàn)，我們不能因為害怕挑戰(zhàn)而拒絕它，否則就會得不償失，信心安全是當(dāng)今社會乃至整個國家發(fā)展所面臨的一個只管重要的問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要的組成部分，甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展講起到非常重要的作用。網(wǎng)絡(luò)安全是一項動態(tài)的、整體的系統(tǒng)工程，我們應(yīng)該結(jié)合現(xiàn)在網(wǎng)絡(luò)發(fā)展的特點，制定妥善的網(wǎng)絡(luò)安全策略，將英特網(wǎng)的不安全性降至到現(xiàn)有條件下的最低點，讓它為我們的工作和現(xiàn)代化建設(shè)做出更好的服務(wù)。

參考文獻(xiàn)

[1] 謝希仁.計算機(jī)網(wǎng)絡(luò) 電子工業(yè)出版社

[2]湯小丹、梁紅兵.計算機(jī)操作系統(tǒng) 西安電子科技大學(xué)出版社 [3] 李偉.網(wǎng)絡(luò)安全實用技術(shù)標(biāo)準(zhǔn)教程 清華大學(xué)出版社 [4] Andrew S.Tanenbaum.計算機(jī)網(wǎng)絡(luò) 清華大學(xué)出版社

第五篇：計算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文

摘要

伴隨網(wǎng)絡(luò)安全形勢的日益惡化，用戶上網(wǎng)也面臨著更多的安全風(fēng)險。如據(jù)金山毒霸云安全實檢測中心最新的數(shù)據(jù)分析顯示，2010年高考期間，僅單日就有近千家高校網(wǎng)站出現(xiàn)被“掛馬”情況??對此，在線沖浪時，如何識別威脅，在線瀏覽時，如何攔截木馬入侵，不慎中招后，如何快速修復(fù)故障？成為了億萬網(wǎng)民關(guān)心的熱點，提供一系列優(yōu)質(zhì)服務(wù)的專業(yè)安全軟件，同期也成了網(wǎng)民所關(guān)注的焦點。

網(wǎng)絡(luò)像一把雙刃劍，它既有好的方面又有不好的方面。隨著Internet的不斷發(fā)展,伴隨而來的上網(wǎng)安全問題越來越引人關(guān)注?？偟膩碚f危害計算機(jī)安全的原因主要有兩大方面，一方面是硬件安全，一方面是軟件安全。而它們所說的安全都是相對應(yīng)計算機(jī)里面的數(shù)據(jù)來說的。其中包括沉迷網(wǎng)絡(luò)、網(wǎng)絡(luò)黃毒、個人信息安全 網(wǎng)上購物騙局、暴力反動等現(xiàn)象。我們應(yīng)該如何對待呢？這是一個值得認(rèn)真考慮的問題，下面就上述問題，所能造成的危害進(jìn)行剖析。

按時打算打算記得哈數(shù)據(jù)來看的看了舒服了還是大空間里發(fā)揮空間了大沙發(fā)看見了電話薩克家樂福還是的空間阿里回復(fù) 的方式可垃圾分類看電視；三大利空；肌膚立刻；盛大積分離開； 建設(shè)大路考f大幅攀升的房間開始的哈空間符合撒旦盡快回復(fù)可見lsadf師大附近還是打卡機(jī)恢復(fù)撒旦回復(fù)

目錄

1.網(wǎng)絡(luò)安全概論

????????????????????????????4 2.木馬防御三步驟 ??????????????????????????????4 2.1識別風(fēng)險

????????????????????????????????5 2.2攔截防范 ????????????????????????????????5 2.3修復(fù) ?????????????????????????????????5 3.家用電腦上網(wǎng)安全防護(hù)完整指南 ??????????????????6 3.1上網(wǎng)安全···················?????????????????????7 3.2 程序安全···················?????????????????????7 3.3 WEB安全···················?????????????????????7 4．撥號上網(wǎng)安全???????????????????????????????8 4.1 經(jīng)常修改密碼 ??????????????????????????????9 4.2 請他人安裝后應(yīng)立即修改密碼??????????????????????9 4.3 使用“撥號后出現(xiàn)終端窗口”功能???????????????????9 4.4 刪除.pwl文件???????????????????????????????9 4.5禁止安裝擊鍵記錄程序??????????????????????????9

上網(wǎng)安全討論

1．網(wǎng)絡(luò)安全概論

現(xiàn)在，幾乎每天，各種媒體都在宣傳網(wǎng)絡(luò)安全的重要性：又出現(xiàn)了某種新病毒，提醒人們要多加注意；又發(fā)現(xiàn)了某個高危險漏洞，告誡用戶要及時打補(bǔ)丁??總之，各種各樣的安全威脅充斥網(wǎng)絡(luò)，上網(wǎng)的人要小心再小心。這種宣傳給人的直接感覺是：網(wǎng)絡(luò)很危險。有人說，最安全的方法就是拔掉網(wǎng)線，不上網(wǎng)。顯然，這不現(xiàn)實。那么到底應(yīng)該如何才能獲取安全感？這個問題是縈繞在許多人，包括信息安全專家心中的困惑。

我認(rèn)為，要做到安全上網(wǎng)，很難，也很簡單。說難，原因眾所周知，網(wǎng)絡(luò)上的確布滿了陷阱，一不小心，你就可能掉進(jìn)去。說簡單，因為網(wǎng)絡(luò)安全中，人的因素最重要。只要做好一點——從自己做起，腦子里時刻緊繃“安全”這根弦，你就可以避免卷入大多數(shù)的安全事件。

也許很多人不同意我的觀點，如果真的像你說得那么簡單，為什么市場上還有那么多安全產(chǎn)品，我們還有必要買嗎？筆者認(rèn)為，安全產(chǎn)品很重要，一定要買。因為大多數(shù)人無法做到心中時刻有安全，而好的安全產(chǎn)品可以幫你在疏忽的時候把好關(guān)。

以病毒或蠕蟲為例。其實有些人中毒的原因很簡單，就是好奇和大意。例如，曾經(jīng)有一種病毒是以著名網(wǎng)球美女莎拉波娃為誘餌，其附件名稱讓人認(rèn)為就是她的照片，很多人因為想一堵網(wǎng)球美女的風(fēng)采，點擊后就不幸中毒了。再看看漏洞，幾年前，曾經(jīng)紅極一時的紅色代碼病毒就是利用了很多企業(yè)的服務(wù)器沒有及時升級、打補(bǔ)丁而造成的。還有網(wǎng)絡(luò)詐騙，以最近的一個號稱是有史以來最大的互聯(lián)網(wǎng)股票欺詐案為例，據(jù)英國某家網(wǎng)絡(luò)安全公司說，他們在過去24小時內(nèi)，偵察到大約5億封炒作一家名為“黃金時段便利店”的美國上市公司股票。這些郵件里含有諸如“抓緊時間，股票即將開始狂漲”之類的鼓動性語言。據(jù)悉，由此，這家公司股票在一天內(nèi)就飆升了30%。之所以有人上當(dāng)，還是因為貪心和大意。試想，但凡正規(guī)的企業(yè)怎么會通過類似小廣告的垃圾郵件來推銷自己？即“陌生人從來不會為你主動提供好的股票投資建議”。

以上這些事例都告訴我們一個很淺顯的道理：真正的網(wǎng)絡(luò)安全實際上靠的不是這個或那個安全產(chǎn)品，而是你自身固有的安全意識。好的安全產(chǎn)品只能像良師益友一樣，不斷地提醒你：注意了，這種網(wǎng)絡(luò)行為很可疑，它有可能是某種安全威脅。但最后判斷是否阻擋這種可疑的網(wǎng)絡(luò)行為，還要靠你自己。

各種安全威脅的源頭或者作者都是人，他們制造這些麻煩的初衷就是利用人的弱點，例如貪婪、好奇、大意??這些弱點幾乎存在于每個普通人的身上，這也是為什么那么多人會屢屢中招的原因。信息安全專家把這種威脅歸結(jié)為“社會工程學(xué)”。

2.木馬防御三步驟

在伴隨網(wǎng)絡(luò)安全形勢的日益惡化，用戶上網(wǎng)也面臨著更多的安全風(fēng)險。如據(jù)金山毒霸云安全實檢測中心最新的數(shù)據(jù)分析顯示，2010年高考期間，僅單日就有近千家高校網(wǎng)站出現(xiàn)被“掛馬”情況??對此，在線沖浪時，如何識別威脅，在線瀏覽時，如何攔截木馬入侵，不慎中招后，如何快速修復(fù)故障？成為了億萬網(wǎng)民關(guān)心的熱點，提供一系列優(yōu)質(zhì)服務(wù)的專業(yè)安全軟件，同期也成了網(wǎng)民所關(guān)注的焦點。

2.1.識別網(wǎng)址安全 預(yù)知鏈接風(fēng)險

安全軟件正在從傳統(tǒng)的被動防護(hù)向主動防御轉(zhuǎn)變，在用戶不慎點擊惡意網(wǎng)址或“釣魚”網(wǎng)站后，防護(hù)軟件對其進(jìn)行攔截之外，是否具備對惡意網(wǎng)址的“預(yù)知”能力，成為了當(dāng)前用戶選擇安全軟件的關(guān)鍵一點。在成千上萬的搜索結(jié)果中，檢測搜索結(jié)果安全性，才可有效避免用戶盲目點擊和面臨安全風(fēng)險。

對此，在專業(yè)安全軟件中，打破了以往先點擊、再攔截的防護(hù)慣例，軟件提供了基于 “可信云安全”技術(shù)的 “網(wǎng)址云鑒定”服務(wù)。用戶通過開啟網(wǎng)盾提供的瀏覽器“搜索保護(hù)”功能，即可在搜索相關(guān)熱詞過程中，自動檢測和識別對應(yīng)網(wǎng)址的安全，搶先預(yù)知鏈接風(fēng)險。

“搜索保護(hù)”功能，當(dāng)前支持包括百度、谷歌、Bing(必應(yīng))、搜狗等主流搜索引擎，開啟此服務(wù)后，會以綠色“√””表示網(wǎng)址為安全，以紅色“X”警示網(wǎng)址存在風(fēng)險。將鼠標(biāo)懸浮在提示圖標(biāo)處，還可了解對其的安全說明，如其為存在風(fēng)險的惡意網(wǎng)址，還是帶有欺詐內(nèi)容的“釣魚”站點。

2.2 攔截惡意網(wǎng)址 防范木馬入侵

安全軟件正在向著多元化的防護(hù)轉(zhuǎn)變，對此，對于惡意網(wǎng)址的防護(hù)上，不同安全軟件也會給予用戶不同的安全服務(wù)，如傳統(tǒng)安全軟件利用惡意網(wǎng)址庫方式來整合資源，收集網(wǎng)址數(shù)據(jù)來實現(xiàn)檢測，采用“云安全”的安全產(chǎn)品，則會通過智能鑒定技術(shù)，根據(jù)惡意網(wǎng)址行為、屬性來加以識別。金山網(wǎng)盾等專業(yè)安全軟件，就可實現(xiàn)智能攔截，有效防范木馬入侵。譬如金山網(wǎng)盾“網(wǎng)頁木馬過濾”和“釣魚網(wǎng)站”攔截功能，支持包括IE、傲游、搜狗等多款瀏覽器軟件，開啟防護(hù)后，還會分別以不同閃框顏色來表明當(dāng)前訪問地址的安全性。如在訪問惡意網(wǎng)址時，會以紅色閃框提示，訪問釣魚網(wǎng)站和廣告網(wǎng)址時，會以黃色閃框提示。安全網(wǎng)址則會通過綠色閃框顯示，方便大家有效辨別網(wǎng)址安全狀況。

同時，金山網(wǎng)盾還對各類惡意網(wǎng)址進(jìn)行了有效劃分，通過不同提示和對網(wǎng)站類型的判定，詳細(xì)告知用戶不同網(wǎng)站的威脅類型，如部分網(wǎng)站存在高危風(fēng)險，用戶訪問會被惡性植入木馬，造成系統(tǒng)崩潰和影響到數(shù)據(jù)安全、部分網(wǎng)站存在欺詐內(nèi)容，謹(jǐn)慎點擊謹(jǐn)防上當(dāng)?shù)鹊?。金山網(wǎng)盾強(qiáng)大的惡意網(wǎng)站攔截功能，令用戶無需擔(dān)心因被“掛馬”而導(dǎo)致計算機(jī)存在風(fēng)險。

2.3.修復(fù)瀏覽限制 解除木馬劫持

今天中招了，明天被“掛馬”了，在上網(wǎng)一段時間后，很多用戶出現(xiàn)了上網(wǎng)速度慢入黃牛，瀏覽器的默認(rèn)主頁也會篡改，指向一些第三方站點。IE屬性更被修改的面目全非，啟動和加載項也混亂不堪的現(xiàn)象，甚至及時開啟了部分安全軟件，依然可能會遭遇攻擊。導(dǎo)致飽受木馬病毒侵害。對此，在識別、防護(hù)功能之外，對于專業(yè)安全軟件來講，修復(fù)功能同樣重要。

在金山網(wǎng)盾中，還具有“網(wǎng)址鎖定”和“瀏覽器修復(fù)”兩大亮點功能。如通過金山網(wǎng)盾“主頁鎖定“功能，我們可以將默認(rèn)的瀏覽器主頁鎖定為空白頁，或如搜索引擎、新聞網(wǎng)站

等孩子上網(wǎng)的首選站點。強(qiáng)制鎖定后，用戶無需再擔(dān)心默認(rèn)主頁被篡改，從而轉(zhuǎn)向到第三方站點。特別是自動誘因用戶轉(zhuǎn)向一些惡意網(wǎng)址。

而金山網(wǎng)盾“瀏覽器修復(fù)”功能，則可以在第一時間檢測到因不慎訪問惡意網(wǎng)址而被植入的威脅，自動檢測當(dāng)前瀏覽器默認(rèn)主頁是否被惡意篡改并指向異常網(wǎng)址、是否存在流氓軟件推廣的異常桌面圖標(biāo)等。掃描完成后，根據(jù)金山網(wǎng)盾提示快速完成修復(fù)。

上網(wǎng)沖浪風(fēng)險多，安全軟件不可少，用戶面臨著眾多安全風(fēng)險，金山網(wǎng)盾等專業(yè)安全軟件則為用戶提供了多重的安全服務(wù)，從識別到攔截，從防護(hù)到檢測、修復(fù)，用戶通過金山網(wǎng)盾可輕松實現(xiàn)對惡意網(wǎng)址的快速檢測，利用其為用戶提供的一系列安全服務(wù)，在線沖浪時讓各類病毒木馬無所遁形。

與之相匹敵的還有瑞星卡卡，江民防護(hù)等等，這里只介紹一種。

3．家用電腦上網(wǎng)安全防護(hù)指南

現(xiàn)今越來越多的電腦愛好者上網(wǎng)，網(wǎng)絡(luò)安全也就為越來越多人所關(guān)心。許多網(wǎng)蟲說網(wǎng)絡(luò)是“自由的世界”，可正是這個“自由的世界”沒有法規(guī)守則，就有一些人利用網(wǎng)絡(luò)的漏洞去蓄意攻擊一般的網(wǎng)友。所以當(dāng)你盡情地在網(wǎng)上沖浪時，小心別觸礁哦！

3．1密碼安全

上網(wǎng)后大家首先就會接觸到密碼，我們會在許多地方用到它，你的密碼尤其是上網(wǎng)帳戶密碼一旦被人竊取，后果是非常嚴(yán)重的！下面我就給大家講講怎樣保護(hù)密碼的安全：

◎.對一些重要的密碼盡量采用數(shù)字與字符相混雜的口令，多用特殊字符，諸如%、&、#、和$,而且最好不要用有意義的單詞、生日和電話號碼等。你必須保證你的密碼不易被人猜中。

◎.在上網(wǎng)撥號程序中除非出于必要請盡量不要保存口令。因為Windows會將口令保存到以PWL為后綴的文件中，別人（尤其是有機(jī)會接近或讀取你機(jī)器的人）一旦獲取該文件，就可以用Pwlview這樣的黑客工具獲得你的帳戶口令，盜用你的帳號上網(wǎng)！

◎.上網(wǎng)后就會知道，要求設(shè)置密碼的情況有很多。提醒你一句，每個密碼最好不同！（什么？你記不住？笨，拿個本記下來）因為攻擊者一般在破獲一個密碼后，會用這個密碼去嘗試用戶每一個需要口令的地方！想想看，別人用一個口令慢慢地盜用你的帳號上網(wǎng)；再去偷看與冒發(fā)你的E-mail；也許還會用你的身份去聊天室損害你的形象；去泡你常泡的MM（我真不敢想象）。

◎.許多網(wǎng)上的商業(yè)站點要求你設(shè)置個人密碼，千萬不要使用與你的ISP帳戶相同的密碼。某些站點為了方便會把這個密碼存在你的瀏覽器的緩存文件或者cookie中，這也就意味著任何站點都能看到你設(shè)置的密碼(只要它想看），于是你的帳戶密碼就泄露出去了。

◎.你必須經(jīng)常更改口令，重要的密碼在一個月內(nèi)至少更改一次。因為這樣即便黑客當(dāng)時破譯了你的密碼，你也會在密碼被人濫用之前將其改變。

◎.最后一點關(guān)鍵：不要向任何人透露你的密碼，特別是別人問起時。一些攻擊者常常冒充你的ISP，編一些類如：由于系統(tǒng)更新，需要你的密碼之類的謊話。千萬不要上當(dāng)！要知道你的ISP是不會向你問口令密碼的。

3.2 程序安全

后門程前一段時間,上網(wǎng)的朋友許多都被一個叫Back Orifice的軟件嚇唬住了!因為聽說黑客可以隨意地刪加你計算機(jī)中的文件、可以隨意開關(guān)你的計算機(jī)。于是弄得大家網(wǎng)也不敢上,飯也不敢吃。（是嗎？）唉??有這么嚴(yán)重嗎？其實它就是一個基于WINDOWS的遠(yuǎn)端控制軟件。類似的軟件還有：Netspy（網(wǎng)絡(luò)間諜）、Provmon等等。但是他們的工作原理都是一樣的。首先把服務(wù)（Server）端程序給欲攻擊方，并且執(zhí)行它。攻擊者自己就運行客戶器（Client）端程序來控制欲攻擊方。這類軟件又叫“特洛伊木馬程序”。原理說白了就是攻擊者在知道你的IP地址后再來攻擊你，所以就不是那么可怕了。防治的方法也有許多：

你一旦接受到一個不明的程序，就有可能是一個后門程序。攻擊者常把后門程序換一個名字用MAIL發(fā)給你，并騙說一些：“這是個好東東，你一定要試試”，“幫我測試一下程序”之類的話。你一定要注意了！下面我把常見的后門程序的大小告訴大家：Boserver（122K）、Netspy（127K）、Xspy（118K）。

上網(wǎng)覺得不對勁時（仿佛感覺有人在遙遠(yuǎn)的地方關(guān)心你），你就按Ctrl+Alt+Del看看系統(tǒng)是否運行了什么其他的程序，你馬上停止它。然而有些程序如Back Orifice并不顯示在Ctrl+Alt+Del的進(jìn)程列表中，所以如果你安裝的是Win98，最好運行“附件”/“系統(tǒng)工具”/“系統(tǒng)信息”，然后雙擊“軟件環(huán)境”，選擇“正在運行任務(wù)”，赫然看見“.EXE”，此乃BoServer(Back Orifice的服務(wù)器程序）！

找到程序后立即終止它！再看看程序從何而來。一般你可以看看WINDOWS注冊表中HKEY_LOCAL_MACHINGSOFTWAREMicrosoftWindowsCurrentVersion下的RunService和RUN主鍵里查找這些程序，然后刪掉它。

你應(yīng)該注意你常去的地方是不是把你的IP顯示了出來（特別是一些聊天室），你一定要小心了！可能攻擊你的人就是這樣才能控制你的。因為我們撥號上網(wǎng)的用戶IP是動態(tài)的，你每次上網(wǎng)的IP是服務(wù)器隨機(jī)分配給你的，所以自己的IP如果不讓人知道，是不會遭到襲擊的。

我在不久前的《電腦報》上看見一個倒霉蛋，她的計算機(jī)一直被人控制著，害得她只有偷偷上網(wǎng)。唉??其實她只要重裝操作系統(tǒng)就行了。這是最簡單的治療后門程序的辦法（也是最笨的）。知道了后門程序的原理，大家可以松一口氣了。大家接著往下看??

3.3 WEB安全

相信大家在網(wǎng)上交流的方式中最常用、最直接的就是在聊天室聊天了。與一些朋友輕松討論問題，開開玩笑，真是舒坦！可是攻擊者就利用網(wǎng)上的漏洞，從中作梗妨礙大家的交流。（真是可氣??哇??）

現(xiàn)在的許多WEB聊天室支持使用HTML語句，當(dāng)然這在一定程度上給了大家方便。但是攻擊者完全可以利用這個讓你“下課”！我列出這些聊天室的漏洞，大家一定聽好了：

攻擊者常常發(fā)給你（或大家?。┮粋€足以讓你死機(jī)的HTML語句。如一個死循環(huán)：<｜A onmousever=“while(ture){window.close('/')}” herf=“”｜>|。因為HTML語句是不會在聊天室顯示出來的，所以你遭攻擊可能還不知道！防治的辦法是在你的瀏覽器中預(yù)先關(guān)閉你的JAVA腳本。方法是：打開WINDOWS的控制面板中的“INTERNET選項”，點擊“安全”,然后選擇“自定義”設(shè)置?？梢钥匆娎锩嬗幸粋€選項叫“腳本”/“活動腳本”,單擊檢查框打上勾使其“禁用”，還有一個“JAVA”選項你也把他禁用了，然后確定，OK！

另外有的聊天室會把你聊天用的密碼寫入你的緩存里面，想想如果你不幸中了后門程序，被一個黑客的陰影籠罩，他正好去讀你的緩存，你的聊天密碼又正好與上網(wǎng)密碼相同，嗚呼??提醒你如果遇上這樣的聊天室最好每次清理你的緩存（WINDOWS目錄下的Internet Temp文件夾），刪掉一些文件名含有你密碼的文件，才能保證你聊天的安全問題！

電子郵件大概是網(wǎng)上用得最廣也是最令人放心不下的了。它太不安全、太不可靠也太脆弱了！我們最后才講它是因為它同時又太重要了！好吧，這里就向你提供一個全面的郵件安全與郵箱保護(hù)方案。

安全郵件與數(shù)字簽名

由于越來越多的人通過電子郵件進(jìn)行重要的商務(wù)活動和發(fā)送機(jī)密信息，而且隨著互聯(lián)網(wǎng)的飛速發(fā)展，這類應(yīng)用會更加頻繁。因此保證郵件的真實性（即不被他人偽造）和不被其他人截取和偷閱也變得日趨重要。因為我們知道：用許多黑客軟件如Email er能夠很容易地發(fā)送假地址郵件和匿名郵件，另外即使是正確地址發(fā)來的郵件在傳遞途中也很容易被別人截取并閱讀。這些對于重要信件來說是難以容忍的。下面我們就以O(shè)utlook Express為例介紹發(fā)送安全郵件和加密郵件的具體方法。

在Outlook Express中可以通過數(shù)字簽名來證明你的郵件的身份，即讓對方確信該郵件是由你的機(jī)器（注意：是機(jī)器?。┌l(fā)送的。Outlook Express同時提供郵件加密功能使得你的郵件只有預(yù)定的接收者才能接收并閱讀它們，但前提是你必須先獲得對方的數(shù)字標(biāo)識（不懂？下面慢慢解釋給你聽）。

要對郵件進(jìn)行數(shù)字簽名必須首先獲得一個私人的數(shù)字標(biāo)識（Digital ID,你的數(shù)字身份證）。所謂數(shù)字標(biāo)識是指由獨立的授權(quán)機(jī)構(gòu)發(fā)放的證明你在Internet上身份的證件，是你在因特網(wǎng)上的身份證。這些發(fā)證的商業(yè)機(jī)構(gòu)將發(fā)放給你這個身份證并不斷效驗其有效性。你首先向這些公司申請數(shù)字標(biāo)識，然后就可以利用這個數(shù)字標(biāo)識對你寫的郵件進(jìn)行數(shù)字簽名。如果你獲得了別人的數(shù)字標(biāo)識那么你還可以跟他發(fā)送加密郵件。下面我們簡單闡述一下數(shù)字標(biāo)識的工作原理。

數(shù)字標(biāo)識由“公用密鑰”、“私人密鑰”和“數(shù)字簽名”三部分組成。你通過對發(fā)送的郵件進(jìn)行數(shù)字簽名可以把你的數(shù)字標(biāo)識發(fā)送給他人，這時他們收到的實際上是公用密鑰，以后他們就可以通過這個公用密鑰對發(fā)給你的郵件進(jìn)行加密，你再在Outlook Express中使用私人密鑰對加密郵件進(jìn)行解密和閱讀。數(shù)字標(biāo)識的數(shù)字簽名部分是你的電子身份卡，數(shù)字簽名可使收件人確信郵件是您發(fā)送的，并且未被偽造或篡改。序目前Flash對位圖的處理功能還比較弱，因為它最初是從矢量處理起始的，加之矢量圖形是Flash GUI設(shè)計之基石，所以估計還會沿著矢量處理的道路繼續(xù)前進(jìn)。

4．撥號上網(wǎng)

與局域網(wǎng)用戶相比，普通撥號上網(wǎng)的用戶在預(yù)防黑客入侵的對抗中，往往處于更不利的地位。但是，許多上網(wǎng)的蟲蟲一向?qū)W(wǎng)絡(luò)安全抱著無所謂的態(tài)度，認(rèn)為最多不過是被人盜用賬號而損失幾千元而已，卻沒有想到被盜用的賬號如果被黑客利用做為跳板從事網(wǎng)絡(luò)破壞活動，你可能就要背黑鍋了。根據(jù)筆者一位朋友對撥號上網(wǎng)用戶的抽樣追蹤發(fā)現(xiàn)，在廣州城里，居然有三成多的用戶半年以內(nèi)都不更換一次賬號密碼!由于從事黑客活動越來越容易，是到了需要提高網(wǎng)絡(luò)安全意識的時候了，下面的方法將有助于撥號上網(wǎng)用戶預(yù)防黑客入侵。

4.1 經(jīng)常修改密碼

老生常談了，但卻是最簡單有效的方法。由于許多黑客利用窮舉法來破解密碼，像John這一類的密碼破解程序可從因特網(wǎng)上免費下載，只要加上一個足夠大的字典在足夠快的機(jī)器上沒日沒夜地運行，就可以獲得需要的帳號及密碼，因此，經(jīng)常修改密碼對付這種盜用就顯得十分奏效。由于那么多潛在的黑客千方百計想要獲得別人的密碼，那么撥號上網(wǎng)用戶就應(yīng)該加強(qiáng)防范，以下四個原則可提高密碼的抗破解能力。不要選擇常用字做密碼。用單詞和符號混合組成密碼。

使用9個以上的字符做密碼，使你的密碼盡可能地長，對Windows系統(tǒng)來說，密碼最少要由9個字符組成才算安全。

密碼組成中最好混合使用大小寫字母，一般情況下密碼只由英文字母組成，密碼中可使用26或52個字母。若對一個8個字母組成的密碼進(jìn)行破解，密碼中字母有無大小寫之分將使破解時間產(chǎn)生256倍的差別。

4.2 請他人安裝后應(yīng)立即修改密碼

這是一個很容易忽略的細(xì)節(jié)，許多用戶第一次不懂得如何撥號上網(wǎng)，就請別人來教，這樣常常把用戶名和密碼告訴此人，這個人記住以后就可以回去盜用服務(wù)了。所以，用戶最好自己學(xué)會如何撥號后再去申請上網(wǎng)賬號，或者首先向ISP問清如何修改自己的密碼，在別人教會自己如何撥號后，立刻將密碼改掉，避免被人盜用。

4.3 使用“撥號后出現(xiàn)終端窗口”功能

選中某一連接，單擊鼠標(biāo)右鍵，選“屬性/常規(guī)/配置/選項/撥號后出現(xiàn)終端窗口”，然后撥號時，在撥號界面上不要填入用戶名和密碼(更不要選中“保存密碼”項)，在出現(xiàn)撥號終端窗口后再進(jìn)行相應(yīng)的輸入，這可以避免用戶名和密碼被記錄到硬盤上的密碼文件中，同時，也可以避免被某些黑客程序捕獲用戶名和密碼。

4.4 刪除.pwl文件

在 Windows目錄下往往有一些以“.pwl”為后綴名的密碼文件，“.pwl”是password的音譯縮寫。比如:在最初的Windows 95操作系統(tǒng)中密碼的保存即存在安全漏洞，從而使黑客可以利用相應(yīng)的程序輕松獲取保存在pwl文件里的密碼。這一漏洞在Windows 97中已經(jīng)被修復(fù)。因此，你需要為你的電腦安裝Windows 97以上版本的操作系統(tǒng)。pwl文件還常常記錄其他地方要用到的密碼，比如開啟Exchange電子信箱的密碼、玩Mud游戲的密碼等，要經(jīng)常刪除這些 pwl文件避免將密碼留在硬盤上。

4.5禁止安裝擊鍵記錄程序

很多人知道doskey.exe這個程序，這個在 DOS下常用的外部命令能通過恢復(fù)以前輸入的命令來加快輸入命令的速度，在Windows下也有了許多類似的程序，如keylog，它不但能記錄用戶的擊鍵動作甚至能以快照的形式記錄到屏幕上發(fā)生的一切。還有些程序能將擊鍵字母記錄到根目錄下的某一特定文件中，而這一文件可以用文本編輯器來查看。密碼就是這樣被泄露出去的，偷盜者只要在根目錄下看看就可以了，根本無需任何專業(yè)知識!

以上就是本人對于網(wǎng)絡(luò)安全的一些心得，希望對經(jīng)常上網(wǎng)的朋友有所幫助

參考文獻(xiàn)

1.黃明.《網(wǎng)絡(luò)安全》電子工業(yè)出版社.2007-9-1 9

2.王風(fēng)，胡登濤.《家庭用電腦》.清華大學(xué)出版社.2008-10-1 3.新京報6月21日 2009-6-21 4．劉曉輝主編.網(wǎng)絡(luò)安全管理實踐(網(wǎng)管天下)[M].北京:電子工業(yè)出版社,2007.3

5.李毅超、蔡洪斌、譚浩等譯.信息安全原理與應(yīng)用(第四版)[M].北京:電子工業(yè)出版社,2007.11