第一篇：網(wǎng)絡(luò)安全與技術(shù)

網(wǎng) 絡(luò) 安 全 與 技 術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全之防火墻概述

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的普及和越來(lái)越廣泛地應(yīng)用于工業(yè)、農(nóng)業(yè)、交通等國(guó)民經(jīng)濟(jì)各個(gè)領(lǐng)域和國(guó)防建設(shè)和軍事領(lǐng)域,計(jì)算機(jī)網(wǎng)絡(luò)時(shí)常出現(xiàn)的安全問(wèn)題日益增多,存在的安全隱患,促使人們采取各種方案保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全。21世紀(jì)全世界的計(jì)算機(jī)都將通過(guò)Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專(zhuān)門(mén)的領(lǐng)域變成了無(wú)處不在。當(dāng)人類(lèi)步入21世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候，我們將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國(guó)自己特色的網(wǎng)絡(luò)安全體系。

一個(gè)國(guó)家的信息安全體系實(shí)際上包括國(guó)家的法規(guī)和政策，以及技術(shù)與市場(chǎng)的發(fā)展平臺(tái)。我國(guó)在構(gòu)建信息防衛(wèi)系統(tǒng)時(shí)，應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品，我們要想真正解決網(wǎng)絡(luò)安全問(wèn)題，最終的辦法就是通過(guò)發(fā)展民族的安全產(chǎn)業(yè)，帶動(dòng)我國(guó)網(wǎng)絡(luò)安全技術(shù)的整體提高。

網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn)：第一，網(wǎng)絡(luò)安全來(lái)源于安全策略與技術(shù)的多樣

于(Checkpoint)。使用這類(lèi)防火墻，需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。

2.硬件防火墻

這里說(shuō)的硬件防火墻是指“所謂的硬件防火墻”。之所以加上所謂二字是針對(duì)芯片級(jí)防火墻說(shuō)的了。它們最大的差別在于是否基于專(zhuān)用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說(shuō)，它們和普通的家庭用的PC沒(méi)有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過(guò)裁剪和簡(jiǎn)化的操作系統(tǒng)，最常用的有老版本的(Unix、Linux和FreeBSD)系統(tǒng)。值得注意的是，由于此類(lèi)防火墻采用的依然是別人的內(nèi)核，因此依然會(huì)受到OS操作系統(tǒng)本身的安全性影響。

傳統(tǒng)硬件防火墻一般至少應(yīng)具備三個(gè)端口，分別接(內(nèi)網(wǎng)，外網(wǎng)和DMZ區(qū))非軍事化區(qū)，現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口，常見(jiàn)四端口防火墻一般將第四個(gè)端口做為配置口、管理端口。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目。

3.芯片級(jí)防火墻

“芯片級(jí)”防火墻基于專(zhuān)門(mén)的硬件平臺(tái)，沒(méi)有操作系統(tǒng)。專(zhuān)有的ASIC芯片促使它們比其他種類(lèi)的防火墻速度更快，處理能力更強(qiáng)，性能更高。做這類(lèi)防火墻最出名的廠商有(NetScreen、FortiNet、Cisco)等。這類(lèi)防火墻由于是專(zhuān)用OS操作系統(tǒng),因此防火墻本身的漏洞比較少，不過(guò)價(jià)格相對(duì)比較高昂。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類(lèi)型:包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型。

1.包過(guò)濾型

包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)

4.監(jiān)測(cè)型

監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí),這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來(lái)自?xún)?nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品

雖然監(jiān)測(cè)型防火墻安全性上已超越了包過(guò)濾型和代理服務(wù)器型防火墻,但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開(kāi)始使用監(jiān)測(cè)型防火墻。基于對(duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶(hù)可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。

實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)代理服務(wù)器(也稱(chēng)應(yīng)用網(wǎng)關(guān))也集成了包過(guò)濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過(guò)濾。例如,它可以過(guò)濾掉FTP連接中的PUT命令,而且通過(guò)代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過(guò)程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。

當(dāng)前信息安全技術(shù)發(fā)展迅速，但沒(méi)有任一種解決方案可以防御所有危及信息安全的攻擊，這是“矛”與“盾”的問(wèn)題，需要不斷吸取新的技術(shù)，取眾家所長(zhǎng)，才能使“盾”更堅(jiān)，以防御不斷鋒利的“矛”，因此，要不斷跟蹤新技術(shù)，對(duì)所采用的信息安全技術(shù)進(jìn)行升級(jí)完善，以確保相關(guān)利益不受侵犯。

我國(guó)信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開(kāi)發(fā)尚處于起步階段，就更需要我們?nèi)パ芯?、開(kāi)發(fā)和探索，以走有中國(guó)特色的產(chǎn)學(xué)研聯(lián)合發(fā)展之路，趕上或超過(guò)發(fā)達(dá)國(guó)家的水平，以此保證我國(guó)網(wǎng)絡(luò)信息的安全，推動(dòng)我國(guó)圍民經(jīng)濟(jì)的高速發(fā)展。

第二篇：網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全技術(shù)

——防火墻技術(shù)與病毒

摘 要：

計(jì)算機(jī)網(wǎng)絡(luò)安全，指致力于解決諸如如何有效進(jìn)行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段。而計(jì)算機(jī)網(wǎng)絡(luò)安全主要包括計(jì)算機(jī)網(wǎng)絡(luò)安全的概況、虛擬網(wǎng)技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù), 安全掃描技術(shù), 電子認(rèn)證和數(shù)字簽名技術(shù).VPN技術(shù)、數(shù)據(jù)安全、計(jì)算機(jī)病毒等。防火墻技術(shù)作為時(shí)下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用戶(hù)的切身利益。針對(duì)網(wǎng)絡(luò)安全獨(dú)立元素——防火墻技術(shù)，通過(guò)對(duì)防火墻日志文件的分析，設(shè)計(jì)相應(yīng)的數(shù)學(xué)模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全等級(jí)，實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。本文將以最常見(jiàn)的WORD宏病毒為例來(lái)解釋計(jì)算機(jī)病毒傳播過(guò)程。

關(guān)鍵詞：網(wǎng)絡(luò)安全 防火墻技術(shù) 計(jì)算機(jī)病毒

1.1 研究背景

隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是Internet的廣泛使用，使計(jì)算機(jī)應(yīng)用更加廣泛與深入。同時(shí)，我們不得不注意到，網(wǎng)絡(luò)雖然功能強(qiáng)大，也有其脆弱易受到攻擊的一面。據(jù)美國(guó)FBI統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全問(wèn)題所造成的經(jīng)濟(jì)損失高達(dá)75億美元，而全求平均每20秒鐘就發(fā)生一起Internet計(jì)算機(jī)侵入事件。在我國(guó)，每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。人們?cè)诶镁W(wǎng)絡(luò)的優(yōu)越性的同時(shí)，對(duì)網(wǎng)絡(luò)安全問(wèn)題也決不能忽視。如何建立比較安全的網(wǎng)絡(luò)體系，值得我們關(guān)注研究。

1.2 計(jì)算機(jī)病毒簡(jiǎn)介

計(jì)算機(jī)病毒是指那些具有自我復(fù)制能力的計(jì)算機(jī)程序, 它能影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行, 破壞數(shù)據(jù)的正確與完整。計(jì)算機(jī)病毒的來(lái)源多種多樣, 有的是計(jì)算機(jī)工作人員或業(yè)余愛(ài)好者為了純粹尋開(kāi)心而制造出來(lái)的;有的則是軟件公司為保護(hù)自己的產(chǎn)品被非法拷貝而制造的報(bào)復(fù)性懲罰, 因?yàn)樗麄儼l(fā)現(xiàn)病毒比加密對(duì)付非法拷貝更有效且更有威脅, 這種情況助長(zhǎng)了病毒的傳播。還有一種情況就是蓄意破壞, 它分為個(gè)人行為和政府行為兩種, 個(gè)人行為多為雇員對(duì)雇主的報(bào)復(fù)行為, 而政府行為則是有組織的戰(zhàn)略戰(zhàn)術(shù)手段。另外有的病毒還是用于研究或?qū)嶒?yàn)而設(shè)計(jì)的“有用”程序, 由于某種原因失去控制擴(kuò)散出實(shí)驗(yàn)室, 從而成為危害四方的計(jì)算機(jī)病毒。

1987 年, 計(jì)算機(jī)用戶(hù)忽然發(fā)現(xiàn), 在世界的各個(gè)角落, 幾乎同時(shí)出現(xiàn)了形形色色的計(jì)算機(jī)病毒。Brain, Lenig h, IBM 圣誕樹(shù), 黑色星期五, 特別是近期發(fā)現(xiàn)的幾種病毒, 其名氣也最大, 它們是: 臺(tái)灣一號(hào)病毒、DIR-Ⅱ病毒、幽靈病毒、米開(kāi)朗基羅病毒等, 至今, 病毒種類(lèi)已超過(guò)一萬(wàn)種。

1988 年底, 我國(guó)國(guó)家統(tǒng)計(jì)系統(tǒng)發(fā)現(xiàn)小球病毒。隨后, 中國(guó)有色金屬總公司所屬昆明、天津、成都等地的一些單位, 全國(guó)一些科研部門(mén)和國(guó)家機(jī)關(guān)也相繼發(fā)現(xiàn)病毒入侵。自從“中國(guó)炸彈”病毒出現(xiàn)后,已發(fā)現(xiàn)越來(lái)越多的國(guó)產(chǎn)病毒。比如目前國(guó)內(nèi)主要有:感染W(wǎng)indow s3.x 的“V3783”,感染W(wǎng)indow s95/ 98的“CIH”病毒。

縱觀計(jì)算機(jī)病毒的發(fā)展歷史, 我們不難看出, 計(jì)算機(jī)病毒已從簡(jiǎn)單的引導(dǎo)型、文件型病毒或它們的混合型發(fā)展到了多形性病毒、欺騙性病毒、破壞性病毒。已從攻擊安全性較低的DOS平臺(tái)發(fā)展到攻擊安全性較高的Window s95/ 98平臺(tái);從破壞磁盤(pán)數(shù)據(jù)發(fā)展到直接對(duì)硬件芯片進(jìn)行攻擊。1995 年宏病毒的出現(xiàn), 使病毒從感染可執(zhí)行文件過(guò)渡到感染某些非純粹的數(shù)據(jù)文件。最近有資料顯示已發(fā)現(xiàn)JAVA病毒, 各種跡象表明病毒正向著各個(gè)領(lǐng)域滲透, 這些新病毒更隱秘, 破壞性更強(qiáng)。

計(jì)算機(jī)病毒的種類(lèi)很多, 不同種類(lèi)的病毒有著各自不同的特征, 它們有的以感染文件為主、有的以感染系統(tǒng)引導(dǎo)區(qū)為主, 大多數(shù)病毒只是開(kāi)個(gè)小小的玩笑。

按傳染方式分類(lèi)可分為引導(dǎo)型病毒、文件型病毒和混合型病毒3種。引導(dǎo)型病毒主要是感染磁盤(pán)的引導(dǎo)區(qū), 系統(tǒng)從包含了病毒的磁盤(pán)啟動(dòng)時(shí)傳播, 它一般不對(duì)磁盤(pán)文件進(jìn)行感染;文件型病毒一般只傳染磁盤(pán)上的可執(zhí)行文件(COM, EXE), 其特點(diǎn)是附著于正常程序文件, 成為程序文件的一個(gè)外殼或部件;混合型病毒則兼有以上兩種病毒的特點(diǎn), 既感染引導(dǎo)區(qū)又感染文件, 因此擴(kuò)大了這種病毒的傳染途徑。

按連接方式分類(lèi)可分為源碼型病毒、入侵型病毒和操作系統(tǒng)型病毒等3 種。其中源碼型病毒主要攻擊高級(jí)語(yǔ)言編寫(xiě)的源程序, 它會(huì)將自己插入到系統(tǒng)的源程序中, 并隨源程序一起編譯、連接成可執(zhí)行文件, 從而導(dǎo)致剛剛生成的可執(zhí)行文件直接帶毒;入侵型病毒用自身代替正常程序中的部分模塊或堆棧區(qū)的病毒, 它只攻擊某些特定程序, 針對(duì)性強(qiáng);操作系統(tǒng)型病毒是用其自身部分加入或替代操作系統(tǒng)的部分功能, 危害性較大。

病毒按程序運(yùn)行平臺(tái)分類(lèi)可分為DOS 病毒、Windows 病毒、WindowsNT病毒、OS/2 病毒等, 它們分別是發(fā)作于DOS,Windows9X,WindowsNT, OS/2等操作系統(tǒng)平臺(tái)上的病毒。而計(jì)算機(jī)病毒的主要危害：不同的計(jì)算機(jī)病毒有不同的破壞行為, 其中有代表性的行為如下: 一是攻擊系統(tǒng)數(shù)據(jù)區(qū), 包括硬盤(pán)的主引導(dǎo)扇區(qū)、Boot 扇區(qū)、FAT 表、文件目錄。一般來(lái)說(shuō), 攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒, 受損的數(shù)據(jù)不易恢復(fù)。二是攻擊文件, 包括刪除、改名、替換文件內(nèi)容、刪除部分程序代碼、內(nèi)容顛倒、變碎片等等。三是攻擊內(nèi)存。

1.3防火墻概述

隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來(lái)越多的領(lǐng)域，網(wǎng)絡(luò)中各類(lèi)重要的、敏感的數(shù)據(jù)逐漸增多;同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問(wèn)題，使得網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出。因此，保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問(wèn)，阻止病毒的傳播感染顯得尤為重要。就目前而言，對(duì)于局部網(wǎng)絡(luò)的保護(hù)，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過(guò)濾和應(yīng)用代理兩類(lèi)。其中包過(guò)濾作為最早發(fā)展起來(lái)的一種技術(shù)，其應(yīng)用非常廣泛。

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。[4]防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。

2.防火墻的原理及分類(lèi)

顧名思義，包過(guò)濾防火墻[9]就是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過(guò)濾規(guī)則相比較，從而決定是否阻塞或通過(guò)。過(guò)濾規(guī)則是基于網(wǎng)絡(luò)層IP包包頭信息的比較。包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，IP包的包頭中包含源、目的IP地址，封裝協(xié)議類(lèi)型(TCP，UDP，ICMP或IP Tunnel)，TCP/UDP端口號(hào)，ICMP消息類(lèi)型，TCP包頭中的ACK等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包;如果沒(méi)有匹配規(guī)則，則按缺省情況處理。包過(guò)濾防火墻是速度最快的防火墻，這是因?yàn)樗幱诰W(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實(shí)現(xiàn)，對(duì)用戶(hù)來(lái)說(shuō)都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。例如，HTTP。通常是使用80端口。如果公司的安全策略允許內(nèi)部員工訪問(wèn)網(wǎng)站，包過(guò)濾防火墻可能設(shè)置允所有80端口的連接通過(guò)，這時(shí)，意識(shí)到這一漏洞的外部人員可以在沒(méi)有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過(guò)濾防火墻的維護(hù)比較困難，定義過(guò)濾規(guī)則也比較復(fù)雜，因?yàn)槿魏我粭l過(guò)濾規(guī)則的不完善都會(huì)給網(wǎng)絡(luò)黑客造成可乘之機(jī)。同時(shí)，包過(guò)濾防火墻一般無(wú)法提供完善的日志。

應(yīng)用級(jí)代理技術(shù)通過(guò)在OSI的最高層檢查每一個(gè)IP包，從而實(shí)現(xiàn)安全策略。代理技術(shù)與包過(guò)濾技術(shù)完全不同，包過(guò)濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實(shí)現(xiàn)防火墻功能。它的代理功能，就是在防火墻處終止客戶(hù)連接并初始化一個(gè)新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。這一內(nèi)建代理機(jī)制提供額外的安全，這是因?yàn)樗鼘?nèi)部和外部網(wǎng)絡(luò)隔離開(kāi)來(lái)，使網(wǎng)絡(luò)外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進(jìn)行探測(cè)變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行全面的控制。但是，這將花費(fèi)更多的處理時(shí)間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比如訪問(wèn)WEB站點(diǎn)的HTTP，用于文件傳輸?shù)腇TP，用于E一MAIL的SMTP/POP3等等。如果某種應(yīng)用沒(méi)有安裝代理程序，那么該項(xiàng)服務(wù)就不被支持并且不能通過(guò)防火墻進(jìn)行轉(zhuǎn)發(fā);同時(shí)升級(jí)一種應(yīng)用時(shí)，相應(yīng)的代理程序也必須同時(shí)升級(jí)。

代理服務(wù)(Proxy Service)也稱(chēng)鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類(lèi)。它是針對(duì)數(shù)據(jù)包過(guò)濾[10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時(shí) 也常結(jié)合入過(guò)濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。

復(fù)合型防火墻：由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過(guò)濾路由器或防火墻與Internet相連，同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在分組過(guò)濾器路由器或防火墻上過(guò)濾規(guī)則的設(shè)置，使堡壘機(jī)成為Internet上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶(hù)的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。執(zhí)行save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定IP時(shí)實(shí)現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護(hù)功能了。

3.1防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì)

(1)安全策略功能

一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶(hù)認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶(hù)角色的安全策略功能。該功能在無(wú)線(xiàn)網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶(hù)身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過(guò)濾技術(shù)的防火墻不具有。用戶(hù)身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信帶來(lái)的負(fù)面影響也越大，因?yàn)橛脩?hù)身份驗(yàn)證需要時(shí)間，特別是加密型的用戶(hù)身份驗(yàn)證。

(2)多級(jí)過(guò)濾技術(shù)

所謂多級(jí)過(guò)濾技術(shù)，是指防火墻采用多級(jí)過(guò)濾措施，并輔以鑒別手段。在分組過(guò)濾(網(wǎng)絡(luò)層)一級(jí)，過(guò)濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級(jí)，遵循過(guò)濾規(guī)則，過(guò)濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹(shù)包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級(jí)，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過(guò)濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過(guò)濾技術(shù)的不足。

這種過(guò)濾技術(shù)在分層上非常清楚，每種過(guò)濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來(lái)的防火墻技術(shù)發(fā)展打下基礎(chǔ)。

(3)功能擴(kuò)展

功能擴(kuò)展是指一種集成多種功能的設(shè)計(jì)趨勢(shì)，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵檢測(cè)這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時(shí)候我們已經(jīng)無(wú)法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個(gè)功能為主了，即其已經(jīng)逐漸向我們普遍稱(chēng)之為IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。有些防火墻集成了防病毒功能，通常被稱(chēng)之為“病毒防火墻”，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问?，更容易?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。

3.1防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)

隨著網(wǎng)絡(luò)應(yīng)用的增加，對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來(lái)越普遍，它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。為了滿(mǎn)足這種需要，一些防火墻制造商開(kāi)發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來(lái)，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴(lài)于軟件的性能，但是由于這類(lèi)防火墻中有一些專(zhuān)門(mén)用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類(lèi)防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專(zhuān)門(mén)的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類(lèi)型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時(shí)滿(mǎn)足來(lái)自靈活性和運(yùn)行性能的要求。參考文獻(xiàn)

[1] 艾軍.防火墻體系結(jié)構(gòu)及功能分析[J].電腦知識(shí)與技術(shù).2004，(s):79一82.[2] 高峰.許南山.防火墻包過(guò)濾規(guī)則問(wèn)題的研究[M].計(jì)算機(jī)應(yīng)用.2003，23(6):311一312.[3] 孟濤、楊磊.防火墻和安全審計(jì)[M].計(jì)算機(jī)安全.2004，(4):17一18.[4] 鄭林.防火墻原理入門(mén)[Z].E企業(yè).2000.[5] 魏利華.防火墻技術(shù)及其性能研究.能源研究與信息.2004，20(l):57一62

[6] 李劍，劉美華，曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學(xué)報(bào).2002，2(l):59一61

[7] 王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006，(8):24一27

[8] 付歌，楊明福.一個(gè)快速的二維數(shù)據(jù)包分類(lèi)算法.計(jì)算機(jī)工程.2004，30(6):76一78

[9] 付歌，楊明福，王興軍.基于空間分解的數(shù)據(jù)包分類(lèi)技術(shù).計(jì)算機(jī)工程與應(yīng)用.2004(8):63一65

[10] 〕韓曉非，王學(xué)光，楊明福.位并行數(shù)據(jù)包分類(lèi)算法研究.華東理工大學(xué)學(xué)報(bào).2003，29(5):504一508

[11] 韓曉非，楊明福，王學(xué)光.基于元組空間的位并行包分類(lèi)算法.計(jì)算機(jī)工程與應(yīng)用.2003，(29):188一192

[12] 馮東雷，張勇，白英彩.一種高性能包分類(lèi)漸增式更新算法.計(jì)算機(jī)研究與發(fā)展.2003，40(3):387一392

第三篇：網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)信息安全與策略

【摘要】隨著我國(guó)網(wǎng)路信息科技的高速發(fā)展，網(wǎng)絡(luò)信息安全問(wèn)題日益突出。以網(wǎng)絡(luò)方式獲取信息和交流信息已成為現(xiàn)代信息社會(huì)的一個(gè)重要特征。網(wǎng)絡(luò)給人們生活帶來(lái)極大便利的同時(shí)，也給許多部門(mén)、單位和個(gè)人帶來(lái)了極大的風(fēng)險(xiǎn)，造成嚴(yán)重的經(jīng)濟(jì)損失。最新報(bào)道：央視《經(jīng)濟(jì)半小時(shí)》播出“我國(guó)黑客木馬形成產(chǎn)業(yè) 2009年收入可超百億元”節(jié)目，可以看出黑客通過(guò)網(wǎng)絡(luò)傳播木馬的嚴(yán)重性。本文主要探討了網(wǎng)絡(luò)信息安全中存在的威脅，并提出了相應(yīng)的技術(shù)保障和對(duì)策?！娟P(guān)鍵字】網(wǎng)絡(luò)

信息

安全

黑客

病毒

技術(shù)

一、網(wǎng)絡(luò)信息安全的內(nèi)涵

在網(wǎng)絡(luò)出現(xiàn)以前，信息安全是指為建立信息處理系統(tǒng)而采取的技術(shù)上和管理上的安全保護(hù)以實(shí)現(xiàn)電子信息的保密性、完整性、可用性、可控性和不可否認(rèn)性。當(dāng)今信息時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為一種不可缺少的信息交換工具。然而，由于計(jì)算機(jī)網(wǎng)絡(luò)具有開(kāi)放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性，再加上本身存在的技術(shù)弱點(diǎn)和人為的疏忽，致使網(wǎng)絡(luò)易受計(jì)算機(jī)病毒、黑客或惡意軟件的侵害。面對(duì)侵襲網(wǎng)絡(luò)安全的種種威脅，必須考慮信息的安全這個(gè)至關(guān)重要的問(wèn)題。

網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個(gè)層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全，即硬件平臺(tái)、操作系統(tǒng)、應(yīng)用軟件;運(yùn)行服務(wù)安全，即保證服務(wù)的連續(xù)性、高效率。信息安全則主要是指數(shù)據(jù)安全，包括數(shù)據(jù)加密、備份、程序等。

1.網(wǎng)絡(luò)信息安全的內(nèi)容

(1)硬件實(shí)體安全。即網(wǎng)絡(luò)硬件和存儲(chǔ)媒體的安全。要保護(hù)這些硬設(shè)施不受損害，能夠正常工作；預(yù)防地震、水災(zāi)、颶風(fēng)、雷擊等的措施；滿(mǎn)足設(shè)備正常運(yùn)行環(huán)境要求；防止電磁輻射、泄露；媒體的安全備份及管理等。

(2)軟件系統(tǒng)安全。即計(jì)算機(jī)程序和文檔資料及其網(wǎng)絡(luò)中各種軟件不被篡改或破壞，不被非法操作或誤操作，功能不會(huì)失效，不被非法復(fù)制。

(3)運(yùn)行服務(wù)安全。即網(wǎng)絡(luò)中的各個(gè)信息系統(tǒng)能夠正常運(yùn)行并能正常地通過(guò)網(wǎng)絡(luò)交流信息。通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備運(yùn)行狀況的監(jiān)測(cè)，發(fā)現(xiàn)不安全因素能及時(shí)報(bào)警并采取措施改變不安全狀態(tài)，保障網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行。

(4)數(shù)據(jù)信息安全。即網(wǎng)絡(luò)中存儲(chǔ)及流通數(shù)據(jù)的安全。要保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)文件和數(shù)據(jù)信息在傳輸過(guò)程中不被篡改、非法增刪、復(fù)制、解密、顯示、使用等。它是保障網(wǎng)絡(luò)安全最根本的目的。

2.網(wǎng)絡(luò)信息安全的目標(biāo)

(1)保密性。保密性是指利用密碼技術(shù)對(duì)敏感信息進(jìn)行加密處理同時(shí)采取抑制、屏蔽措施防止電磁泄漏，保證信息只有合法用戶(hù)才能利用，而不會(huì)泄露給非授權(quán)人、實(shí)休。

(2)完整性。完整性是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對(duì)網(wǎng)絡(luò)信息安全進(jìn)行攻擊的最終目的就是破壞信息的完整性。

(3)可用性?？捎眯允侵负戏ㄓ脩?hù)訪問(wèn)并能按要求順序使用信息的特性，即保證合法用戶(hù)在需要時(shí)可以訪問(wèn)到信息。

(4)可控性?？煽匦允侵甘跈?quán)機(jī)構(gòu)對(duì)信息的內(nèi)容及傳播具有控制的能力的特性，可以控制授權(quán)范圍內(nèi)的信息流向以及方式。

(5)不可否認(rèn)性。不可否認(rèn)性是指在信息交流過(guò)程結(jié)束后，通信雙方不能抵賴(lài)曾經(jīng)做出的行為，也不能否認(rèn)曾經(jīng)接收到對(duì)方的信息。

二、網(wǎng)絡(luò)信息安全面臨的威脅

1.操作系統(tǒng)自身的因素

無(wú)論哪一種操作系統(tǒng)，其體系結(jié)構(gòu)本身就是不安全的一種因素。由于操作系統(tǒng)的程序是可以動(dòng)態(tài)連接的，包過(guò)I/O的驅(qū)動(dòng)程序與系統(tǒng)服務(wù)都可以用打補(bǔ)丁的方法升級(jí)和進(jìn)行動(dòng)態(tài)連接。而這種動(dòng)態(tài)連接正是計(jì)算機(jī)病毒產(chǎn)生的溫床，該產(chǎn)品的廠商可以使用，“黑客”成員也可以使用。因此，這種打補(bǔ)丁與滲透開(kāi)發(fā)的操作系統(tǒng)是不可能從根本上解決安全問(wèn)題。

2.網(wǎng)絡(luò)協(xié)議和軟件的安全缺陷

因特網(wǎng)的基石是TCP/IP協(xié)議簇，該協(xié)議簇在實(shí)現(xiàn)上力求效率，而沒(méi)有考慮安全因素，因?yàn)槟菢訜o(wú)疑增大代碼量，從而降低了TCP/IP的運(yùn)行效率，所以說(shuō)TCP/IP本身在設(shè)計(jì)上就是不安全的。很容易被竊聽(tīng)和欺騙：大多數(shù)因特網(wǎng)上的流量是沒(méi)有加密的，電子郵件口令、文件傳輸很容易被監(jiān)聽(tīng)和劫持。很多基于TCP/IP的應(yīng)用服務(wù)都在不同程度上存在著安全問(wèn)題，這很容易被一些對(duì)TCP/IP十分了解的人所利用，一些新的處于測(cè)試階級(jí)的服務(wù)有更多的安全缺陷。缺乏安全策略：許多站點(diǎn)在防火墻配置上無(wú)意識(shí)地?cái)U(kuò)大了訪問(wèn)權(quán)限，忽視了這些權(quán)限可能會(huì)被內(nèi)部人員濫用，黑客從一些服務(wù)中可以獲得有用的信息，而網(wǎng)絡(luò)維護(hù)人員卻不知道應(yīng)該禁止這種服務(wù)。配置的復(fù)雜性：訪問(wèn)控制的配置一般十分復(fù)雜，所以很容易被錯(cuò)誤配置，從而給黑客以可乘之機(jī)。TCP/IP是被公布于世的，了解它的人越多被人破壞的可能性越大。現(xiàn)在，銀行之間在專(zhuān)用網(wǎng)上傳輸數(shù)據(jù)所用的協(xié)議都是保密的，這樣就可以有效地防止入侵。當(dāng)然，人們不能把TCP/IP和其實(shí)現(xiàn)代碼保密，這樣不利于TCP/IP網(wǎng)絡(luò)的發(fā)展。

3.電腦黑客攻擊多樣化

進(jìn)人2006年以來(lái)，網(wǎng)絡(luò)罪犯采用翻新分散式阻斷服務(wù)(DDOS)攻擊的手法，用形同互聯(lián)網(wǎng)黃頁(yè)的域名系統(tǒng)服務(wù)器來(lái)發(fā)動(dòng)攻擊，擾亂在線(xiàn)商務(wù)。寬帶網(wǎng)絡(luò)條件下，常見(jiàn)的拒絕服務(wù)攻擊方式主要有兩種，一是網(wǎng)絡(luò)黑客蓄意發(fā)動(dòng)的針對(duì)服務(wù)和網(wǎng)絡(luò)設(shè)備的DDOS攻擊;二是用蠕蟲(chóng)病毒等新的攻擊方式，造成網(wǎng)絡(luò)流量急速提高，導(dǎo)致網(wǎng)絡(luò)設(shè)備崩潰，或者造成網(wǎng)絡(luò)鏈路的不堪負(fù)重。

調(diào)查資料顯示，2006年初發(fā)現(xiàn)企業(yè)的系統(tǒng)承受的攻擊規(guī)模甚于以往，而且來(lái)源不是被綁架的“僵尸”電腦，而是出自于域名系統(tǒng)(DNS)服務(wù)器。一旦成為DDOS攻擊的目標(biāo)，目標(biāo)系統(tǒng)不論是網(wǎng)頁(yè)服務(wù)器、域名服務(wù)器，還是電子郵件服務(wù)器，都會(huì)被網(wǎng)絡(luò)上四面八方的系統(tǒng)傳來(lái)的巨量信息給淹沒(méi)。黑客的用意是借人量垃圾信息妨礙系統(tǒng)正常的信息處理，借以切斷攻擊目標(biāo)對(duì)外的連線(xiàn)。黑客常用“僵尸”電腦連成網(wǎng)絡(luò)，把大量的查詢(xún)要求傳至開(kāi)放的DNS服務(wù)器，這些查詢(xún)信息會(huì)假裝成被巨量信息攻擊的目標(biāo)所傳出的，因此DNS服務(wù)器會(huì)把回應(yīng)信息傳到那個(gè)網(wǎng)址。

美國(guó)司法部的一項(xiàng)調(diào)查資料顯示，1998年3月到2005年2月期間，82%的人侵者掌握授權(quán)用戶(hù)或設(shè)備的數(shù)據(jù)。在傳統(tǒng)的用戶(hù)身份認(rèn)證環(huán)境下，外來(lái)攻擊者僅憑盜取的相關(guān)用戶(hù)身份憑證就能以任何臺(tái)設(shè)備進(jìn)人網(wǎng)絡(luò)，即使最嚴(yán)密的用戶(hù)認(rèn)證保護(hù)系統(tǒng)也很難保護(hù)網(wǎng)絡(luò)安全。另外，由于企業(yè)員工可以通過(guò)任何一臺(tái)未經(jīng)確認(rèn)和處理的設(shè)備，以有效合法的個(gè)人身份憑證進(jìn)入網(wǎng)絡(luò)，使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機(jī)可乘，嚴(yán)重威脅網(wǎng)絡(luò)系統(tǒng)的安全。有資料顯示，最近拉美國(guó)家的網(wǎng)絡(luò)詐騙活動(dòng)增多，作案手段先進(jìn)。犯罪活動(dòng)已經(jīng)從“現(xiàn)實(shí)生活轉(zhuǎn)入虛擬世界”，網(wǎng)上詐騙活動(dòng)日益增多。

4計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是專(zhuān)門(mén)用來(lái)破壞計(jì)算機(jī)正常工作，具有高級(jí)技巧的程序。它并不獨(dú)立存在，而是寄生在其他程序之中，它具有隱蔽性、潛伏性、傳染性和極大的破壞性。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展、網(wǎng)絡(luò)空間的廣泛運(yùn)用，病毒的種類(lèi)急劇增加。目前全世界的計(jì)算機(jī)活體病毒達(dá)14萬(wàn)多種，其傳播途徑不僅通過(guò)軟盤(pán)、硬盤(pán)傳播，還可以通過(guò)網(wǎng)絡(luò)的電子郵件和下載軟件傳播。從國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中日常監(jiān)測(cè)結(jié)果來(lái)看，計(jì)算機(jī)病毒呈現(xiàn)出異常活躍的態(tài)勢(shì)。據(jù)2001年調(diào)查，我國(guó)約73%的計(jì)算機(jī)用戶(hù)曾感染病毒,2003年上半年升至83%。其中，感染3次以上的用戶(hù)高達(dá)59%，而且病毒的破壞性較大。被病毒破壞全部數(shù)據(jù)的占14%，破壞部分?jǐn)?shù)據(jù)的占57%。只要帶病毒的電腦在運(yùn)行過(guò)程中滿(mǎn)足設(shè)計(jì)者所預(yù)定的條件，計(jì)算機(jī)病毒便會(huì)發(fā)作，輕者造成速度減慢、顯示異常、丟失文件，重者損壞硬件、造成系統(tǒng)癱瘓。

5.人性的脆弱性

人們與生俱來(lái)就有信任他人、樂(lè)于助人以及對(duì)未知事物的好奇心等弱點(diǎn)。狡猾的電腦黑客往往利用這些弱點(diǎn)，通過(guò)E-mail、偽造的Web網(wǎng)站、向特定的用戶(hù)提幾個(gè)簡(jiǎn)單的問(wèn)題的伎倆，騙取公司的保密資料或從個(gè)人用戶(hù)那里騙取網(wǎng)上購(gòu)物的信用卡、用戶(hù)名和密碼，達(dá)到入侵網(wǎng)絡(luò)信息系統(tǒng)的目的，使得那些采用多種先進(jìn)技術(shù)的安全保護(hù)措施形同虛設(shè)。

6管理因素

用戶(hù)安全意識(shí)淡薄, 管理不善是當(dāng)前存在的一個(gè)嚴(yán)重的問(wèn)題。目前我國(guó)安全管理方面存在的問(wèn)題主要有: 一是缺乏強(qiáng)有力的權(quán)威管理機(jī)構(gòu), 由于我國(guó)網(wǎng)絡(luò)安全立法滯后, 安全管理部門(mén)受人力、技術(shù)等條件的限制影響著安全管理措施的有效實(shí)施。二是缺乏安全審計(jì),安全審計(jì)是把與安全相關(guān)的事件記錄到安全日志中,我國(guó)現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)大多數(shù)缺少安全審計(jì), 安全日志形同虛設(shè)。三是安全意識(shí)淡薄。人們對(duì)信息安全認(rèn)識(shí)不夠, 過(guò)分依賴(lài)信息安全產(chǎn)品, 缺乏細(xì)致的內(nèi)部網(wǎng)絡(luò)管理機(jī)制, 一些用戶(hù)警惕性不高, 操作麻痹, 甚至把自己賬號(hào)隨意給他人。

三、保障網(wǎng)絡(luò)信息安全的對(duì)策和技術(shù)

1.安全通信協(xié)議和有關(guān)標(biāo)準(zhǔn)。

在網(wǎng)絡(luò)安全技術(shù)應(yīng)用領(lǐng)域，安全通信協(xié)議提供了一種標(biāo)準(zhǔn)，基于這些標(biāo)準(zhǔn)，企業(yè)可以很方便地建立自己的安全應(yīng)用系統(tǒng)。目前主要的安全通信協(xié)議有SSL（TLS）、IPsec和S/MIME SL提供基于客戶(hù)/服務(wù)器模式的安全標(biāo)準(zhǔn)，SSL（TLS）在傳輸層和應(yīng)用層之間嵌入一個(gè)子層，主要用于實(shí)現(xiàn)兩個(gè)應(yīng)用程序之間安全通訊機(jī)制，提供面向連接的保護(hù)；IP安全協(xié)議（IPsec）提供網(wǎng)關(guān)到網(wǎng)關(guān)的安全通信標(biāo)準(zhǔn)，在網(wǎng)絡(luò)層實(shí)現(xiàn)，IPsec能夠保護(hù)整個(gè)網(wǎng)絡(luò)；S/MIME在應(yīng)用層提供對(duì)信息的安全保護(hù)，主要用于信息的安全存儲(chǔ)、信息認(rèn)證、傳輸和信息轉(zhuǎn)發(fā)。三種安全通信協(xié)議雖然均提供了類(lèi)似的安全服務(wù)，但是他們的具體應(yīng)用范圍是不同的，在實(shí)際應(yīng)用中，應(yīng)根據(jù)具體情況選擇相應(yīng)的安全通信協(xié)議。

2.防火墻技術(shù)

防火墻技術(shù)是為了保證網(wǎng)絡(luò)路由安全性而在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造一個(gè)保護(hù)層。所有的內(nèi)外連接都強(qiáng)制性地經(jīng)過(guò)這一保護(hù)層接受檢查過(guò)濾，只有被授權(quán)的通信才允許通過(guò)。防火墻的安全意義是雙向的，一方面可以限制外部網(wǎng)對(duì)內(nèi)部網(wǎng)的訪問(wèn)，另一方面也可以限制內(nèi)部網(wǎng)對(duì)外部網(wǎng)中不健康或敏感信息的訪問(wèn)。同時(shí)，防火墻還可以對(duì)網(wǎng)絡(luò)存取訪問(wèn)進(jìn)行記錄和統(tǒng)計(jì)，對(duì)可疑動(dòng)作告警，以及提供網(wǎng)絡(luò)是否受到監(jiān)視和攻擊的詳細(xì)信息。防火墻系統(tǒng)的實(shí)現(xiàn)技術(shù)一般分為兩種，一種是分組過(guò)濾技術(shù)，一種是代理服務(wù)技術(shù)。分組過(guò)濾基于路由器技術(shù)，其機(jī)理是由分組過(guò)濾路由器對(duì)IP分組進(jìn)行選擇，根據(jù)特定組織機(jī)構(gòu)的網(wǎng)絡(luò)安全準(zhǔn)則過(guò)濾掉某些IP地址分組，從而保護(hù)內(nèi)部網(wǎng)絡(luò)。代理服務(wù)技術(shù)是由一個(gè)高層應(yīng)用網(wǎng)關(guān)作為代理服務(wù)器，對(duì)于任何外部網(wǎng)的應(yīng)用連接請(qǐng)求首先進(jìn)行安全檢查，然后再與被保護(hù)網(wǎng)絡(luò)應(yīng)用服務(wù)器連接。代理服務(wù)技術(shù)可使內(nèi)、外網(wǎng)絡(luò)信息流動(dòng)受到雙向監(jiān)控。

3.訪問(wèn)拉制技術(shù)

訪問(wèn)控制根據(jù)用戶(hù)的身份賦予其相應(yīng)的權(quán)限，即按事先確定的規(guī)則決定主體對(duì)客體的訪問(wèn)是否合法，當(dāng)一主體試圖非法使用一個(gè)未經(jīng)授權(quán)使用的客體時(shí)，該機(jī)制將拒絕這一企圖，其主要通過(guò)注冊(cè)口令、用戶(hù)分組控制、文件權(quán)限控制三個(gè)層次完成。此外，審計(jì)、日志、入侵偵察及報(bào)警等對(duì)保護(hù)網(wǎng)絡(luò)安全起一定的輔助作用，只有將上述各項(xiàng)技術(shù)很好地配合起來(lái)，才能為網(wǎng)絡(luò)建立一道安全的屏障。

4.反病毒軟件

反病毒軟件已成為人們抵御病毒進(jìn)攻的有力武器。目前的反病毒軟件具有幾項(xiàng)技術(shù)特色。首先, 出現(xiàn)了病毒防火墻。該技術(shù)為用戶(hù)提供了一個(gè)實(shí)時(shí)監(jiān)防止病毒發(fā)作的工具,它對(duì)用戶(hù)訪問(wèn)的每一個(gè)文件進(jìn)行病毒檢測(cè), 確認(rèn)無(wú)毒后才會(huì)讓系統(tǒng)接管進(jìn)行下一步的工作。其次, 反病毒軟件提出了在線(xiàn)升級(jí)的方式。第三, 完成了統(tǒng)一的防病毒管理。第四,嵌入式查毒技術(shù)的形成, 它將殺毒引擎直接嵌掛到IE 瀏覽器和流行辦公軟件Office2003 和OfficeXP 組件當(dāng)中,使其與可能發(fā)生病毒侵?jǐn)_的應(yīng)用程序有機(jī)地結(jié)合為一體, 在占用系統(tǒng)資源最小的情況下查殺病毒。

5.入侵檢測(cè)技術(shù)

隨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)的不斷提高, 作為對(duì)防火墻及其有益的補(bǔ)充, IDS(入侵檢測(cè)系統(tǒng))能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生,它擴(kuò)展了系統(tǒng)管理員的安全管理能力包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng), 提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)系統(tǒng)是一種對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)的專(zhuān)用系統(tǒng), 該系統(tǒng)處于防火墻之后, 可以和防火墻及路由器配合工作, 用來(lái)檢查一個(gè)LAN 網(wǎng)段上的所有通信,記錄和禁止網(wǎng)絡(luò)活動(dòng),可以通過(guò)重新配置來(lái)禁止從防火墻外部進(jìn)入的惡意流量。入侵檢測(cè)系統(tǒng)能夠?qū)W(wǎng)絡(luò)上的信息進(jìn)行快速分析或在主機(jī)上對(duì)用戶(hù)進(jìn)行審計(jì)分析, 通過(guò)集中控制臺(tái)來(lái)管理、檢測(cè)。

6.PKI技術(shù)

PKI是在公開(kāi)密鑰理論和技術(shù)基礎(chǔ)上發(fā)展起來(lái)的一種綜合安全平臺(tái)，能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書(shū)管理，從而達(dá)到保證網(wǎng)上傳遞信息的安全、真實(shí)、完整和不可抵賴(lài)的目的。利用PKI可以方便地建立和維護(hù)一個(gè)可信的網(wǎng)絡(luò)計(jì)算環(huán)境，從而使得人們?cè)谶@個(gè)無(wú)法直接相互面對(duì)的環(huán)境里，能夠確認(rèn)彼此的身份和所交換的信息，能夠安全地從事商務(wù)活動(dòng)。目前，PKI技術(shù)己趨于成熟，其應(yīng)用已覆蓋了從安全電子郵件、虛擬專(zhuān)用網(wǎng)絡(luò)(VPN),Web交互安全到電子商務(wù)、電子政務(wù)、電子事務(wù)安全的眾多領(lǐng)域，許多企業(yè)和個(gè)人已經(jīng)從PKI技術(shù)的使用中獲得了巨大的收益。

在PKI體系中，CA(CertificateAuthority，認(rèn)證中心)和數(shù)字證書(shū)是密不可分的兩個(gè)部分。認(rèn)證中心又叫CA中心，它是負(fù)責(zé)產(chǎn)生、分配并管理數(shù)字證書(shū)的可信賴(lài)的第三方權(quán)威機(jī)構(gòu)。認(rèn)證中心是PKI安全體系的核心環(huán)節(jié)，因此又稱(chēng)作PKI/CA。認(rèn)證中心通常采用多層次的分級(jí)結(jié)構(gòu)，上級(jí)認(rèn)證中心負(fù)責(zé)簽發(fā)和管理下級(jí)認(rèn)證中心的證書(shū)，最下一級(jí)的認(rèn)證中心直接面向最終用戶(hù)。數(shù)字證書(shū)，又叫“數(shù)字身份證”、“數(shù)字ID”，是由認(rèn)證中心發(fā)放并經(jīng)認(rèn)證中心數(shù)字簽名的，包含公開(kāi)密鑰擁有者以及公開(kāi)密鑰相關(guān)信息的一種電子文件，可以用來(lái)證明數(shù)字證書(shū)持有者的真實(shí)身份。

7.增強(qiáng)網(wǎng)絡(luò)安全意識(shí)

利用講座和電視視頻直播給上網(wǎng)的朋友們普及有關(guān)網(wǎng)絡(luò)安全知識(shí),使他們知道網(wǎng)絡(luò)中時(shí)時(shí)刻刻都存在潛在的威脅,可能會(huì)帶來(lái)經(jīng)濟(jì)損失和精神損失。同時(shí)，還要讓他們知道一切不明身份的垃圾郵件千萬(wàn)不要打開(kāi)，因?yàn)樗赡芙o你的電腦帶進(jìn)病毒。通過(guò)事實(shí)中的案例告訴網(wǎng)民在網(wǎng)絡(luò)中做任何事情一定不要放松自己的警惕，加強(qiáng)自己電腦的殺毒軟件，多關(guān)注網(wǎng)上欺騙手段的視頻。總之，利用一切可以利用的手段加強(qiáng)網(wǎng)民的網(wǎng)絡(luò)安全意識(shí)。

8.法律保護(hù)

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，大量的信息在互聯(lián)網(wǎng)上進(jìn)行傳播，不可避免地會(huì)侵犯他人的合法權(quán)益，而且這種侵犯將因?yàn)榛ヂ?lián)網(wǎng)比其他媒體更有廣泛的影響而加重侵權(quán)的嚴(yán)重程度。從這個(gè)意義上來(lái)說(shuō)，一個(gè)人可以不上網(wǎng)，但是他的合法權(quán)益被他人通過(guò)互聯(lián)網(wǎng)侵犯卻是有可能的，因此，加強(qiáng)與互聯(lián)網(wǎng)相關(guān)的立法建設(shè)，對(duì)于全體國(guó)民都是非常重要的。

四、結(jié)論

隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)及網(wǎng)絡(luò)信息安全技術(shù)已經(jīng)深入到了社會(huì)的多個(gè)領(lǐng)域。網(wǎng)絡(luò)和信息時(shí)代給我們帶來(lái)技術(shù)進(jìn)步和生活便利的同時(shí)，也給國(guó)家和個(gè)人都帶了巨大經(jīng)濟(jì)損失。網(wǎng)民要加強(qiáng)自己的防范意識(shí)，保證自己的財(cái)產(chǎn)不受到侵犯。我還希望國(guó)家相關(guān)部門(mén)規(guī)范網(wǎng)絡(luò)信息安全標(biāo)準(zhǔn)，加快先進(jìn)技術(shù)的研發(fā)來(lái)保障網(wǎng)絡(luò)通訊的安全。同時(shí)，加強(qiáng)相關(guān)法律法規(guī)的力度來(lái)保證人民的根本利益，為我們提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境。參考文獻(xiàn)：

[1]龐淑英.網(wǎng)絡(luò)信息安全技術(shù)基礎(chǔ)及應(yīng)用.2009 [2]李俊宇.信息安全技術(shù)基礎(chǔ)冶金工業(yè)出版社.2004.12 [3]王麗輝.網(wǎng)絡(luò)安全及相關(guān)技術(shù)吉林農(nóng)業(yè)科技學(xué)院學(xué)報(bào)，第19卷第2期.2005 [4]何萬(wàn)敏.網(wǎng)絡(luò)信息安全與防范技術(shù)甘肅農(nóng)業(yè).2005年第1期 [5]黃慧陳閡中.針對(duì)黑客攻擊的預(yù)防措施計(jì)算機(jī)安全.2005 [6]王云峰.信息安全技術(shù)及策略[J].廣東廣播電視大學(xué)學(xué)報(bào),2006

第四篇：網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀與展望

計(jì)算機(jī)前沿講座論文

《網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀與展望》

班級(jí)： 計(jì)算機(jī)民本（12-1）

姓名：吐?tīng)栠d阿依.達(dá)吾提 學(xué)號(hào)： 5011107127 講師： 李鵬 日期： 2011-12-02

塔里木大學(xué)教務(wù)處制

網(wǎng)絡(luò)安全技術(shù)現(xiàn)狀與展望

1、引言

安全問(wèn)題是伴隨人類(lèi)社會(huì)進(jìn)步和發(fā)展而日顯其重要性的。信息技術(shù)革命不僅給人們帶來(lái)工作和生活上的方便，同時(shí)也使人們處于一個(gè)更易受到侵犯和攻擊的境地。例如，個(gè)人隱私的保密性就是在信息技術(shù)中使人們面對(duì)的最困難的問(wèn)題之一。在“全球一村”的網(wǎng)絡(luò)化時(shí)代，傳統(tǒng)的物理安全技術(shù)和措施不再足以充分保證信息和系統(tǒng)的安全了。

近年來(lái)，世界各國(guó)相繼提出自己的信息高速公路計(jì)劃──國(guó)家信息基礎(chǔ)設(shè)施NII(National Information Infrastructure)，同時(shí)，建立全球的信息基礎(chǔ)設(shè)施GII(Global Information Infrastructure)也已被提上了議事日程。問(wèn)題在于，僅從物理通信基礎(chǔ)的角度來(lái)看，這種基礎(chǔ)設(shè)施因主要涉及技術(shù)問(wèn)題而相對(duì)容易解決得多。然而，這是遠(yuǎn)遠(yuǎn)不夠的。以將影響人類(lèi)未來(lái)生活方式的電子商務(wù)應(yīng)用來(lái)說(shuō)，它不僅涉及技術(shù)問(wèn)題，而且更多地與社會(huì)、生活、道德、法律等相關(guān)，更有甚者，有些問(wèn)題可能是道德和法律都無(wú)能為力的，這個(gè)時(shí)侯，人們又想到了技術(shù)，寄期望于技術(shù)能解決一切問(wèn)題。不幸的是，當(dāng)前的技術(shù)離我們的目標(biāo)還有一定的距離。

在信息技術(shù)領(lǐng)域，信息安全和計(jì)算機(jī)系統(tǒng)安全是兩個(gè)相互依賴(lài)而又很難分開(kāi)的問(wèn)題。保證信息安全的一個(gè)必要條件是實(shí)現(xiàn)計(jì)算機(jī)系統(tǒng)的安全，而保證計(jì)算機(jī)系統(tǒng)安全的一個(gè)必要條件也是實(shí)現(xiàn)信息安全。這或許就是此問(wèn)題是如此之難的原因。如果說(shuō)兩者有什么基本的共同之處的話(huà)，那就是在于兩者的實(shí)現(xiàn)都是通過(guò)“存取控制”或“訪問(wèn)控制”來(lái)作為最后一道安全防線(xiàn)(如果不考慮基于審計(jì)或其它信息的攻擊檢測(cè)方法的話(huà))。在這道防線(xiàn)之前，自然就是“身份鑒別”或“身份認(rèn)證”。為此，各種“授權(quán)”或“分配”技術(shù)就應(yīng)運(yùn)而生了。從根本上說(shuō)，操作系統(tǒng)安全、數(shù)據(jù)庫(kù)安全和計(jì)算機(jī)網(wǎng)絡(luò)安全的基本理論是相通的。由于此問(wèn)題的復(fù)雜性，以及在當(dāng)前的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下，在某種意義上說(shuō)計(jì)算機(jī)網(wǎng)絡(luò)的安全為操作系統(tǒng)安全和數(shù)據(jù)庫(kù)安全提供了一個(gè)基礎(chǔ)，在本文中我們主要討論計(jì)算機(jī)網(wǎng)絡(luò)安全的問(wèn)題。

2、計(jì)算機(jī)網(wǎng)絡(luò)安全研究的現(xiàn)狀

人類(lèi)社會(huì)發(fā)展歷程中，必須與各種困難作頑強(qiáng)的斗爭(zhēng)。這些困難對(duì)他們生存的威脅不僅來(lái)自自然災(zāi)害如風(fēng)、雨、雷、電等，還來(lái)自野獸或異族的攻擊。在石器時(shí)代，雖然人類(lèi)可以有了簡(jiǎn)單的生產(chǎn)工具甚至武器，但人們對(duì)山洞的依賴(lài)性可能怎么強(qiáng)調(diào)都不會(huì)過(guò)分。這個(gè)時(shí)期的身份“鑒別”或“認(rèn)證”技術(shù)可能只需要山洞的看門(mén)人認(rèn)識(shí)其每一個(gè)成員即可。到了中世紀(jì)，人們不僅可以有金屬制的更為強(qiáng)有力的裝備，同時(shí)也有了更為堅(jiān)固的城堡。這個(gè)時(shí)期的身份“鑒別”或“認(rèn)證”技術(shù)可能需要每一個(gè)成員佩帶一個(gè)特殊的標(biāo)志。在當(dāng)代，人類(lèi)有了諸如原子彈這種大規(guī)模殺傷性武器的同時(shí)，人們也試圖實(shí)現(xiàn)諸如“太空防御”計(jì)劃這種“反武器”，與此相應(yīng)的是，用于身份“鑒別”或“認(rèn)證”的技術(shù)也從傳統(tǒng)的物理身份發(fā)展到了 1

基于計(jì)算、生物統(tǒng)計(jì)學(xué)特征的數(shù)字身份。

縱觀整個(gè)人類(lèi)社會(huì)發(fā)展史，可以清楚地看到，安全技術(shù)是“矛”和“盾”的對(duì)立統(tǒng)一，兩者相輔相承，相互促進(jìn)。所謂“道高一尺，魔高一丈”，緊接其后的“魔高一尺，道高一丈”，就是當(dāng)前這種相互刺激的寫(xiě)照。

2.1基于密碼術(shù)的網(wǎng)絡(luò)安全

密碼術(shù)在歷史上對(duì)軍事、國(guó)防和外交的重要性是不言而喻的，尤其是在第二次世界大戰(zhàn)中，盟軍成功破譯德國(guó)和日本密碼系統(tǒng)為早日結(jié)束這埸戰(zhàn)爭(zhēng)起了相當(dāng)大的作用。然而，到那時(shí)為止的密碼術(shù)在很大程度上是一門(mén)藝術(shù)而非科學(xué)，它過(guò)分依賴(lài)于密碼設(shè)計(jì)人員的創(chuàng)造性甚至“小聰明”。

在本世紀(jì)30年代，Shannon成功地建立了通信保密系統(tǒng)的數(shù)學(xué)原理，從此，密碼術(shù)的研究開(kāi)始進(jìn)入一個(gè)科學(xué)領(lǐng)域的時(shí)代。盡管不實(shí)用，畢競(jìng)?cè)藗兛吹搅舜嬖谕昝辣Ｃ艿拿艽a系統(tǒng)。但真正使密碼術(shù)為廣大民間人士作囑目的里程碑是70年代由IBM最先發(fā)表而由美國(guó)國(guó)家標(biāo)準(zhǔn)局和商業(yè)部采用的DES(Data Encryption Standard)──這是傳統(tǒng)的對(duì)稱(chēng)密鑰體制的里程碑，以及幾年之后由Diffie和Hellman發(fā)表的基于離散對(duì)數(shù)求解困難性的公鑰密碼系統(tǒng)，Rivest、Shamir和Adleman發(fā)表了基于大合數(shù)因子分解困難性的公鑰密碼系統(tǒng)RSA──開(kāi)創(chuàng)了密碼學(xué)研究的新紀(jì)元。

應(yīng)該注意到，實(shí)用的密碼系統(tǒng)的建立是基于當(dāng)前計(jì)算機(jī)的計(jì)算能力，同時(shí)也是基于計(jì)算機(jī)科學(xué)理論中的計(jì)算復(fù)雜性和結(jié)構(gòu)復(fù)雜性研究成果的。由于眾所周知的原因，當(dāng)前的計(jì)算密碼學(xué)成果都是基于尚未證明的假設(shè)即P和NP不是同一個(gè)集合的。而且，由于復(fù)雜性理論研究本身的復(fù)雜性，當(dāng)前的復(fù)雜性成果是基于最壞情形復(fù)雜性而不是平均情形復(fù)雜性的，這又使我們感到了問(wèn)題的嚴(yán)重性。然而，無(wú)論如何可以自慰的是，越來(lái)越有理由使我們相信我們所基于的復(fù)雜性假設(shè)是正確的。而且，最近的有關(guān)研究成果表明，人們?cè)诨谄骄鶑?fù)雜性的密碼系統(tǒng)研究和設(shè)計(jì)方面有期望會(huì)取得突破。當(dāng)前已取得的成果主要是基于傳統(tǒng)的“數(shù)的幾何”這門(mén)學(xué)科中的與格有關(guān)的計(jì)算難題而構(gòu)造出來(lái)的，基于一個(gè)自然問(wèn)題的密碼系統(tǒng)還有待進(jìn)一步的工作。

自從計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和系統(tǒng)被人們使用一開(kāi)始，密碼術(shù)就被應(yīng)用到計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)中實(shí)現(xiàn)信息的機(jī)密性、完整性，并用于用戶(hù)身份的鑒別或認(rèn)證。在計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)的各個(gè)層次，都成功的應(yīng)用過(guò)密碼術(shù)。但是，一個(gè)明顯的趨勢(shì)是，安全機(jī)制已從傳統(tǒng)的通信子網(wǎng)(如鏈路層或物理層)上升到資源子網(wǎng)(如應(yīng)用層或會(huì)話(huà)層)。一個(gè)重要的原因是，由于當(dāng)前條件下存在多種異構(gòu)的計(jì)算機(jī)通信網(wǎng)絡(luò)。在這方面，國(guó)際標(biāo)準(zhǔn)化組織發(fā)表的一系列網(wǎng)絡(luò)安全框架起了指導(dǎo)作用。由于計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域的一個(gè)典型特征是，先有應(yīng)用或平臺(tái)后有標(biāo)準(zhǔn)，這種市場(chǎng)驅(qū)動(dòng)帶來(lái)的一個(gè)直接結(jié)果是，各層都有相應(yīng)的安全機(jī)制。下面我們將從協(xié)議棧的低層到高層分別介紹已有的安全機(jī)制。由于TCP/IP已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)，在以下的討論中，我們基于TCP/IP協(xié)議棧而不是ISO/OSI的標(biāo)準(zhǔn)的七層模式。

2.1.1網(wǎng)絡(luò)層安全機(jī)制

安全的IP層已成為網(wǎng)絡(luò)安全研究中的重點(diǎn)之一。安全的IP層應(yīng)該提供報(bào)文鑒別機(jī)制以實(shí)現(xiàn)信息完整性，提供數(shù)據(jù)加密機(jī)制以實(shí)現(xiàn)信息的機(jī)密性，還要提供路由加密機(jī)制來(lái)對(duì)付通信量分析的攻擊。關(guān)于IP層的數(shù)據(jù)完整性(通過(guò)MD5報(bào)文摘要算法實(shí)現(xiàn))機(jī)制和數(shù)據(jù)機(jī)密性(通過(guò)對(duì)稱(chēng)的或非對(duì)稱(chēng)的密碼算法實(shí)現(xiàn))機(jī)制實(shí)現(xiàn)已在RFC 1826和RFC 1825中討論，該兩份文檔基本上給出了一個(gè)可行的方案。在RFC 1826中定義了鑒別頭AH(Authentication Header)來(lái)實(shí)現(xiàn)報(bào)文完整性，在RFC 1825中定義了封裝安全載荷頭ESP(Encapsulation Security Payload)來(lái)實(shí)現(xiàn)報(bào)文機(jī)密性。

IP的功能和實(shí)現(xiàn)決定了通信量分析攻擊是IP網(wǎng)絡(luò)中一個(gè)固有的脆弱點(diǎn)，因?yàn)镮P數(shù)據(jù)分組中的路由信息對(duì)攻擊方是可讀的。通信量分析指攻擊方通過(guò)分析協(xié)議實(shí)體間報(bào)文頻率、長(zhǎng)度等信息，并據(jù)此推斷出有用信息。為了對(duì)付通信量分析的攻擊，一種最簡(jiǎn)單的方法即所謂的通信量填充機(jī)制，但這種方法顯然會(huì)浪費(fèi)網(wǎng)絡(luò)帶寬，更進(jìn)一步，這種方法僅能用于當(dāng)某兩個(gè)節(jié)點(diǎn)之間的通信量突然減少時(shí)這種情況。如果與此相反，通信量填充就無(wú)能為力了。

我們已有工作成果表明，不僅在鏈路層或物理層實(shí)現(xiàn)抗通信量分析攻擊,而且可在IP層本身解決此問(wèn)題。有關(guān)技術(shù)細(xì)節(jié)就不在這里介紹了。有趣的是，網(wǎng)絡(luò)層防火墻的有效性也依賴(lài)于IP層的安全性。

2.1.2 會(huì)話(huà)層安全機(jī)制

到目前為止最引人注目的會(huì)話(huà)層安全機(jī)制是Netscape公司提出的安全套接字層SSL(Secure Socket Layer)。SSL提供位于TCP層之上的安全服務(wù)。它使用的安全機(jī)制包括通過(guò)對(duì)稱(chēng)密碼算法和非對(duì)稱(chēng)密碼算法來(lái)實(shí)現(xiàn)機(jī)密性、完整性、身份鑒別或認(rèn)證。SSL已用于瀏覽器和004km.cnmunication Technology)。

2.1.3 應(yīng)用層安全機(jī)制

在人們注重于會(huì)話(huà)層安全機(jī)制的同時(shí)，應(yīng)用層安全機(jī)制也受到了同樣的重視。從類(lèi)似于電子商務(wù)這種應(yīng)用的角度出發(fā)，已提出了兩種實(shí)用的應(yīng)用。就安全電子郵件而言，因特網(wǎng)工程任務(wù)組IETF(Internet Engineering Task Force)在1993年提出了加強(qiáng)保密的電子郵件方案PEM(Privacy-Enhanced Mail)。但是，由于多種原因，該方案并未得到廣泛支持。后來(lái)，由于RSA數(shù)據(jù)安全公司的介入，在1995年提出了S/MIME協(xié)議(Secure/Multipurpose Internet Mail Extensions)。從World-Wide Web角度來(lái)看，人們提出了三種安全的HTTP協(xié)議或協(xié)議簇。第一個(gè)是HTTPS，它事實(shí)上就是基于SSL來(lái)實(shí)現(xiàn)安全的HTTP。第二個(gè)是SHTTP(Secure HTTP)，是CommerceNet在1994年提出的，其最初的目的是用于電子商務(wù)。該協(xié)議后來(lái)也提交給了因特網(wǎng)工程任務(wù)組IETF的WEB事務(wù)安全工作組討論。象SSL一樣，SHTTP提供了數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和身份鑒別或認(rèn)證服務(wù)。二者的不同之處在于，SHTTP是HTTP的一個(gè)擴(kuò)展，它把安全機(jī)制嵌入到HTTP中。顯然，由于SHTTP較之SSL更面向應(yīng)用，3

因此實(shí)現(xiàn)起來(lái)要復(fù)雜一些。在早期，各廠商一般只選擇支持上述兩個(gè)協(xié)議之一，但現(xiàn)在許多廠商對(duì)兩者都支持。第三個(gè)是安全電子交易(Secure Electronic Transaction)SET。這是一個(gè)龐大的協(xié)議，它主要涉及電子商務(wù)中的支付處理。它不僅定義了電子支付協(xié)議，還定義了證書(shū)管理過(guò)程。SET是由Visa和MasterCard共同提出的。

2.1.4基于密碼術(shù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)

綜合本節(jié)的討論，我們可以從下圖中看出當(dāng)前已提出和實(shí)現(xiàn)的在網(wǎng)絡(luò)體系結(jié)構(gòu)各層實(shí)現(xiàn)的安全機(jī)制。

2.2 基于網(wǎng)絡(luò)技術(shù)本身的網(wǎng)絡(luò)安全

我們認(rèn)為，基于密碼術(shù)的安全機(jī)制不能完全解決網(wǎng)絡(luò)中的安全問(wèn)題的一個(gè)主要原因在于，盡管密碼算法的安全強(qiáng)度是很強(qiáng)的，但當(dāng)前的軟件技術(shù)不足以證明任一個(gè)軟件恰好實(shí)現(xiàn)的是該軟件的規(guī)格說(shuō)明所需要的功能。由于象操作系統(tǒng)這種核心的系統(tǒng)軟件的正確性也不能形式地證明，因此不能保證任何重要的軟件中沒(méi)有安全漏洞。事實(shí)告訴我們，那些被黑客們發(fā)現(xiàn)的系統(tǒng)軟件中的安全漏洞恰好成了他們使用的攻擊點(diǎn)。在本節(jié)中我們不討論這種原因?qū)е碌陌踩珕?wèn)題。這種安全漏洞或許只有等到形式的軟件開(kāi)發(fā)和正確性證明技術(shù)取得突破后，才能得到很好地解決。

基于網(wǎng)絡(luò)技術(shù)本身的網(wǎng)絡(luò)安全機(jī)制方面，主要是防火墻技術(shù)。常用的主要有網(wǎng)絡(luò)層防火墻和應(yīng)用層防火墻兩種。

目前常用的網(wǎng)絡(luò)層防火墻主要工作在IP層，通過(guò)分析IP包頭來(lái)決定允許或禁止某個(gè)信息包通過(guò)該防火墻，如路由器過(guò)濾就是一種最常見(jiàn)的類(lèi)型。

應(yīng)用層防火墻是主要是通過(guò)應(yīng)用層網(wǎng)關(guān)或服務(wù)代理來(lái)實(shí)現(xiàn)的。即當(dāng)來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的請(qǐng)求到達(dá)應(yīng)用層網(wǎng)關(guān)時(shí)，它代理內(nèi)部主機(jī)與外部公共網(wǎng)上的服務(wù)器建立連接，進(jìn)而轉(zhuǎn)發(fā)來(lái)自外部服務(wù)器的請(qǐng)求響應(yīng)。這種代理對(duì)內(nèi)部主機(jī)來(lái)說(shuō)可以是透明的，對(duì)外部服務(wù)器來(lái)說(shuō)也可以是透明的。

由于目前已有許多介紹防火墻的文章，本文不擬介紹有關(guān)的技術(shù)實(shí)現(xiàn)細(xì)節(jié)。

2.3 問(wèn)題

盡管到目前為止人們已實(shí)現(xiàn)了許多安全機(jī)制，但安全問(wèn)題仍然倍受懷疑和關(guān)注。事實(shí)上，象電子商務(wù)這種應(yīng)用是否會(huì)得到充分的推廣，將在很大程度上取決于人們對(duì)網(wǎng)絡(luò)安全機(jī)制的信心。雖然目前有關(guān)計(jì)算機(jī)犯罪中，非技術(shù)因素導(dǎo)致的損失大于技術(shù)因素(如黑客或密碼分析)的損失，但對(duì)于安全技術(shù)和機(jī)制的要求將越來(lái)越高。這種需求將不僅驅(qū)動(dòng)理論研究的進(jìn)展，還必將促進(jìn)實(shí)際安全產(chǎn)品的進(jìn)一步發(fā)展。

3.展望

對(duì)網(wǎng)絡(luò)安全本質(zhì)的認(rèn)識(shí)卻還處于一個(gè)相當(dāng)原始的階段，其表現(xiàn)形式是基于密碼術(shù)的網(wǎng)絡(luò)安全和基于防火墻的網(wǎng)絡(luò)安全尚不能完美地結(jié)合成一種更加有效的安全機(jī)制。我們期望，如果能夠提出一個(gè)合理的數(shù)學(xué)模型，將會(huì)對(duì)網(wǎng)絡(luò)安全的研究和可實(shí)際應(yīng)用網(wǎng)絡(luò)安全系統(tǒng)的開(kāi)發(fā) 4

起非常大的促進(jìn)作用。

從實(shí)用的角度出發(fā)，目前人們已提出了一些基于人工智能的網(wǎng)絡(luò)安全檢測(cè)專(zhuān)家系統(tǒng)。這方面，SRI(Stanford Research Institute)和Purdue大學(xué)已做了許多工作。同時(shí)，基于主動(dòng)網(wǎng)絡(luò)安全檢測(cè)的安全系統(tǒng)的研究也已起步，在這方面，Internet Security Systems也已有一些產(chǎn)品問(wèn)世。

參考文獻(xiàn)

[1]孟令奎,史文中,張鵬林.網(wǎng)絡(luò)地理信息系統(tǒng)原理與技術(shù)[M].北京:科學(xué)出版社.2005 [2]劉南,劉仁義.地理信息系統(tǒng)[M].北京:高等教育出版社.2002 [3]姬婧,孟景風(fēng).淺論WebGIS系統(tǒng)[J].煤炭技術(shù),2006 [4]田洪陣,劉沁萍,劉軍偉.WebGIS的現(xiàn)狀及其發(fā)展趨勢(shì)[J].許昌學(xué)院學(xué)報(bào).2004 [5]尚武.網(wǎng)絡(luò)地理信息系統(tǒng)(WebGIS)的現(xiàn)狀及前景[J].地質(zhì)通報(bào).2006 [6]龔健雅.當(dāng)代GIS的若干理論與技術(shù)[J].武漢:武漢測(cè)繪科技大學(xué)出版社.1999 [7]李一鳴.基于Internet的地理信息系統(tǒng)——WEBGIS[J].電腦知識(shí)與技術(shù).2005

第五篇：網(wǎng)絡(luò)安全技術(shù)論文

當(dāng)前網(wǎng)絡(luò)常見(jiàn)安全問(wèn)題分析

指導(dǎo)老師：

摘要：信息時(shí)代，人們對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的應(yīng)用和依賴(lài)程度愈來(lái)愈高，信息安全問(wèn)題日益突顯，海量的信息存儲(chǔ)在網(wǎng)絡(luò)上，隨時(shí)可能遭到非法入侵，存在著嚴(yán)重的安全隱患本文針對(duì)根據(jù)幾火突出的網(wǎng)絡(luò)安全問(wèn)題，歸納并提出了一些網(wǎng)絡(luò)信息安全防抄的方法和策略計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用給計(jì)算機(jī)的安全提出了更高的要求，也使網(wǎng)絡(luò)安全問(wèn)題日漸突出。如果不很好地解決這個(gè)問(wèn)題，必將阻礙計(jì)算機(jī)網(wǎng)絡(luò)化發(fā)展的進(jìn)程。關(guān)鍵詞：網(wǎng)絡(luò)安全

黑客入侵

網(wǎng)絡(luò)詐騙

1、網(wǎng)絡(luò)安全的基本內(nèi)涵

網(wǎng)絡(luò)安全從本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全，網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全，具體指的是網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不會(huì)因?yàn)榕既坏幕蛘邜阂獾墓舳獾狡茐?、更改、泄漏，系統(tǒng)能夠連續(xù)可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷網(wǎng)絡(luò)安全包括數(shù)據(jù)安全和系統(tǒng)安全兩方面，它具有保密性、完整性、可用性可控性、不可否認(rèn)性五大特征

從廣義上來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。計(jì)算機(jī)網(wǎng)絡(luò)安全不僅包括組網(wǎng)的硬件、管理控制網(wǎng)絡(luò)的軟件，也包括共享的資源，快捷的網(wǎng)絡(luò)服務(wù)，所以定義網(wǎng)絡(luò)安全應(yīng)考慮涵蓋計(jì)算機(jī)網(wǎng)絡(luò)所涉及的全部?jī)?nèi)容。參照ISO給出的計(jì)算機(jī)安全定義，認(rèn)為計(jì)算機(jī)網(wǎng)絡(luò)安全是指：“保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件，軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠性地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)正常有序?！?/p>

2、常見(jiàn)的網(wǎng)絡(luò)安全問(wèn)題

互聯(lián)網(wǎng)與生俱有的開(kāi)放性、交互性和分散性特征使人類(lèi)所憧憬的信息共享、開(kāi)放、靈活和快速等需求得到滿(mǎn)足。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，為人類(lèi)社會(huì)的進(jìn)步提供了巨大推動(dòng)力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問(wèn)題：（1）信息泄漏、信息污染、信息不易受控。例如，資源未授權(quán)侵用、未授權(quán)信息流出現(xiàn)、系統(tǒng)拒絕信息流和系統(tǒng)否認(rèn)等，這些都是信息安全的技術(shù)難點(diǎn)。（2）在網(wǎng)絡(luò)環(huán)境中，一些組織或個(gè)人出于某種特殊目的，進(jìn)行信息泄密、信息破壞、信息侵權(quán)和意識(shí)形態(tài)的信息滲透，甚至通過(guò)網(wǎng)絡(luò)進(jìn)行政治顛覆等活動(dòng)，使國(guó)家利益、社會(huì)公共利益和各類(lèi)主體的合法權(quán)益受到威脅。（3）網(wǎng)絡(luò)運(yùn)用的趨勢(shì)是全社會(huì)廣泛參與，隨之而來(lái)的是控制權(quán)分散的管理問(wèn)題。由于人們利益、目標(biāo)、價(jià)值的分歧，使信息資源的保護(hù)和管理出現(xiàn)脫節(jié)和真空，從而使信息安全問(wèn)題變得廣泛而復(fù)雜。（4）隨著社會(huì)重要基礎(chǔ)設(shè)施的高度信息化，社會(huì)的“命脈”和核心控制系統(tǒng)有可能面臨惡意攻擊而導(dǎo)致?lián)p壞和癱瘓，包括國(guó)防通信設(shè)施、動(dòng)力控制網(wǎng)、金融系統(tǒng)和政府網(wǎng)站等。

2.1遭受黑客攻擊

自 1994 年國(guó)際互聯(lián)網(wǎng)進(jìn)入我國(guó)以來(lái)，我國(guó)的網(wǎng)民人數(shù)急劇增長(zhǎng)，隨著網(wǎng)絡(luò)的逐漸普及，黑客隊(duì)伍也相應(yīng)產(chǎn)生并逐漸壯大，其作案范圍日益擴(kuò)大，作案手段日益高明，對(duì)網(wǎng)絡(luò)安全造成了危害。

黑客主要是使用一些現(xiàn)有的工具對(duì)操作系統(tǒng)的弱口令或安全漏洞加以利用攻擊，獲得一般用戶(hù)甚至管理員用戶(hù)權(quán)限，進(jìn)而達(dá)到實(shí)施破壞的目的。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類(lèi)。非破壞性攻擊一般是為了擾亂系統(tǒng)的運(yùn)行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的

電腦黑客活動(dòng)已形成重要威脅。網(wǎng)絡(luò)信息系統(tǒng)具有致命的脆弱性、易受攻擊性和開(kāi)放性，從國(guó)內(nèi)情況來(lái)看，目前我國(guó)95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過(guò)境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。

2.2計(jì)算機(jī)病毒

病毒實(shí)際上是一種特殊的程序或普通程序中的一段特殊代碼，它的功能是破壞計(jì)算機(jī)的正常運(yùn)行或竊取用戶(hù)計(jì)算機(jī)上的隱私。計(jì)算機(jī)感染上病毒后，輕則使系統(tǒng)效率下降，重則造成系統(tǒng)死機(jī)或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計(jì)算機(jī)主板等部件的損壞。有了互聯(lián)網(wǎng)后，病毒的傳播速度更快，涉及范圍更廣，危害性更大。計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重。據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心副主任張健介紹，從國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心日常監(jiān)測(cè)結(jié)果看來(lái)，計(jì)算機(jī)病毒呈現(xiàn)出異常活躍的態(tài)勢(shì)。

2.3 垃圾郵件和間諜軟件

一些人利用電子郵件地址的“公開(kāi)性”和系統(tǒng)的“可廣播性”進(jìn)行商業(yè)、宗教、政治等活動(dòng)，把自己的電子郵件強(qiáng)行“推入”別人的電子郵箱，強(qiáng)迫他人接受垃圾郵件。與計(jì)算機(jī)病毒不同，間諜軟件的主要目的不在于對(duì)系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶(hù)信息。間諜軟件的功能繁多，它可以監(jiān)視用戶(hù)行為，或是發(fā)布廣告，修改系統(tǒng)設(shè)置，威脅用戶(hù)隱私和計(jì)算機(jī)安全，并可能不同程度地影響系統(tǒng)性能。

2.4 計(jì)算機(jī)犯罪

計(jì)算機(jī)犯罪，通常是利用竊取口令等手段非法侵人計(jì)算機(jī)信息系統(tǒng)，傳播有害信息，惡意破壞計(jì)算機(jī)系統(tǒng)，實(shí)施貪污盜竊、詐騙和金融犯罪等活動(dòng)。網(wǎng)絡(luò)安全的防范措施

3.1 安裝殺毒軟件

計(jì)算機(jī)病毒有以下五種特征：寄生性、傳染性、破壞性、可觸發(fā)性、可潛伏性。根據(jù)計(jì)算機(jī)病毒的特征，人們摸索出了許多檢測(cè)計(jì)算機(jī)病毒和殺毒的軟件。國(guó)內(nèi)的有瑞星、KV3000、金山毒霸、360殺毒軟件等，國(guó)外的有諾頓、卡巴斯基等。但是，沒(méi)有哪種殺毒軟件是萬(wàn)能的，所以當(dāng)本機(jī)的殺毒軟件無(wú)法找到病毒時(shí)，用戶(hù)可以到網(wǎng)上下載一些專(zhuān)殺工具，如木馬專(zhuān)殺工具、蠕蟲(chóng)專(zhuān)殺工具或宏病毒專(zhuān)殺工具等。值得注意的是，安裝了殺毒軟件后，我們還必須每周至少更新一次殺毒軟件病毒庫(kù)，因?yàn)榉啦《拒浖挥凶钚虏攀亲钣行У?。每周還要對(duì)電腦硬盤(pán)進(jìn)行一次全面的掃描、殺毒，以便及時(shí)發(fā)現(xiàn)并清除隱藏在系統(tǒng)中的病毒。當(dāng)不慎感染上病毒時(shí)，應(yīng)立即將殺毒軟件升級(jí)到最新版本，然后對(duì)整個(gè)硬盤(pán)進(jìn)行掃描，清除一切可以查殺的病毒。當(dāng)受到網(wǎng)絡(luò)攻擊時(shí)，我們的第一反應(yīng)就是拔掉網(wǎng)絡(luò)連接端口以斷開(kāi)網(wǎng)絡(luò)。3.2 安裝網(wǎng)絡(luò)防火墻

所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)（如Internet）分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門(mén)外，最大限度地阻止網(wǎng)絡(luò)中的黑客訪問(wèn)自己的網(wǎng)絡(luò)，防止他們隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，所以，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。常見(jiàn)的個(gè)人網(wǎng)絡(luò)防火墻有天網(wǎng)防火墻、瑞星防火墻和360安全衛(wèi)士等。.安裝防病毒網(wǎng)關(guān)軟件 防病毒網(wǎng)關(guān)放置在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)連接處。當(dāng)在內(nèi)部網(wǎng)絡(luò)發(fā)現(xiàn)病毒時(shí)，可能已經(jīng)感染了很多計(jì)算機(jī)，防病毒網(wǎng)關(guān)可以將大部分病毒隔離在外部，它同時(shí)具有反垃圾郵件和反間諜軟件的能力。當(dāng)出現(xiàn)新的病毒時(shí)，管理員只要將防病毒網(wǎng)關(guān)升級(jí)就可以抵御新病毒的攻擊。

3.3 數(shù)據(jù)加密

數(shù)據(jù)加密作為一項(xiàng)基本技術(shù)是所有通信安全的基石。數(shù)據(jù)加密過(guò)程是由形形色色的加密算法來(lái)具體實(shí)施的，它以很小的代價(jià)來(lái)提供很大的安全保護(hù)。在多數(shù)情況下，數(shù)據(jù)加密是保證信息機(jī)密性的惟一方法。一般把受保護(hù)的原始信息稱(chēng)為明文，編碼后的稱(chēng)為密文。數(shù)據(jù)加密的基本過(guò)程包括對(duì)明文進(jìn)行翻譯，譯成密文或密碼的代碼形式。該過(guò)程的逆過(guò)程為解密，即將該加密的編碼信息轉(zhuǎn)化為原來(lái)的形式的過(guò)程。機(jī)密資料被加密后，無(wú)論是被人通過(guò)復(fù)制數(shù)據(jù)、還是采用網(wǎng)絡(luò)傳送的方式竊取過(guò)去，只要對(duì)方不知道你的加密算法，該機(jī)密資料就成了毫無(wú)意義的亂碼一堆。常見(jiàn)的加密軟件有SecWall、明朝萬(wàn)達(dá)、完美數(shù)據(jù)加密大師等。

3.4 警惕“網(wǎng)絡(luò)釣魚(yú)”

“網(wǎng)絡(luò)釣魚(yú)”（phishing）是通過(guò)大量發(fā)送聲稱(chēng)來(lái)自于銀行或其他知名機(jī)構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息的一種攻擊方式。黑客就是利用這種欺騙性的電子郵件和偽造的web站點(diǎn)來(lái)進(jìn)行網(wǎng)絡(luò)詐騙活動(dòng)，受騙者往往會(huì)泄露自己的私人資料，如信用卡號(hào)、銀行卡賬戶(hù)、身份證號(hào)等內(nèi)容。黑客通常會(huì)將自己偽裝成網(wǎng)絡(luò)銀行、在線(xiàn)零售商和信用卡公司等可信的品牌，騙取用戶(hù)的私人信息。對(duì)此，用戶(hù)應(yīng)該提高警惕，可安裝一款有反垃圾郵件功能的良好殺毒軟件。大多數(shù)安全產(chǎn)品都能將這種郵件識(shí)別為垃圾郵件，使你對(duì)它們的花言巧語(yǔ)提高警惕。不登錄不熟悉的網(wǎng)站，鍵入網(wǎng)站地址時(shí)要認(rèn)真校對(duì)。多用常識(shí)思考，因?yàn)檫@是你 抵御詐騙的最有效方式。沒(méi)有人會(huì)無(wú)條件地給予你什么，而網(wǎng)上一見(jiàn)鐘情的概率也是微乎其微。因此，你從一開(kāi)始就要對(duì)這種聯(lián)絡(luò)抱有高度懷疑，以防誤入圈套。結(jié)語(yǔ)

本文簡(jiǎn)要地分析了計(jì)算機(jī)網(wǎng)絡(luò)存在的幾種安全隱患，并探討了計(jì)算機(jī)網(wǎng)絡(luò)的幾種安全防范措施?？偟膩?lái)說(shuō)，網(wǎng)絡(luò)安全不僅僅是技術(shù)問(wèn)題，同時(shí)也是一個(gè)安全管理問(wèn)題。目前解決網(wǎng)絡(luò)安全問(wèn)題的大部分技術(shù)是存在的，但是隨著社會(huì)的發(fā)展，人們對(duì)網(wǎng)絡(luò)功能的要求愈加苛刻，這就決定了通信網(wǎng)絡(luò)安全維護(hù)是一個(gè)長(zhǎng)遠(yuǎn)持久的課題。我們必須適應(yīng)社會(huì)，不斷提高技術(shù)水平，以保證網(wǎng)絡(luò)安全維護(hù)的順利進(jìn)行。

參考文獻(xiàn)

1、尹建璋《計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用實(shí)例》西安電子科技大學(xué)出版社，2、劉遠(yuǎn)生、辛一主編《計(jì)算機(jī)網(wǎng)絡(luò)安全》北京:清華大學(xué)出版社.2009.6

3、張千里，陳光英《網(wǎng)絡(luò)安全新技術(shù)》北京：人民郵電出版社,2003.1

4、徐茂智《信息安全概論》人民郵電出版社2007.8

5、劉永華、解圣慶《局域網(wǎng)組建、管理與維護(hù)》清華大學(xué)出版社2006.6

5、呂江。網(wǎng)絡(luò)安全現(xiàn)狀分析及應(yīng)對(duì)措施[J]．中國(guó)新技術(shù)新產(chǎn)品，2009，23：44～45．

The current network common security analysis

Abstract: information age, people to the computer and network applications and dependence on more and more high, the information security problem has become very prominent, the magnitude of the information stored in the network, may at any time by the illegal invasion, there are serious security hidden danger in this paper according to a few fire outstanding network security problem, inductive and puts forward some prevention network information security copy method and strategy of the wide application of computer network to computer security put forward higher request, also make the problem of network security becomes more and more serious if not solve this problem well, will hinder the process of the development of computer network.Keywords: network security ,hackers ,network fraud