第一篇：網(wǎng)絡(luò)安全與維護(hù)畢業(yè)論文

網(wǎng)絡(luò)安全與維護(hù)畢業(yè)論文

論文關(guān)鍵詞：

計(jì)算機(jī) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)建設(shè) 安全技術(shù) 論文摘要：

隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)正變得日益重要，已經(jīng)滲透到各行業(yè)的生產(chǎn)管理、經(jīng)營管理等各個(gè)領(lǐng)域。因此，認(rèn)清網(wǎng)絡(luò)的脆弱性和存在的潛在威脅，并采取強(qiáng)有力的防范措施，對(duì)于保障計(jì)算機(jī)網(wǎng)絡(luò)的安全、可靠、正常運(yùn)行具有十分重要的意義。本文分析了對(duì)網(wǎng)絡(luò)安全建設(shè)造成威脅的諸多原因，并在技術(shù)及管理方面提出了相應(yīng)的防范對(duì)策。隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，信息全球化已成為人類發(fā)展的現(xiàn)實(shí)。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有多樣性、開放性、互連性等特點(diǎn)，致使網(wǎng)絡(luò)易受攻擊。具體的攻擊是多方面的，有來自黑客的攻擊也有其他諸如計(jì)算機(jī)病毒等形式的攻擊。因此，網(wǎng)絡(luò)的安全措施就顯得尤為重要，只有針對(duì)各種不同的威脅或攻擊采取必要的措施，才能確保網(wǎng)絡(luò)信息的保密性、安全性和可靠性。

1威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的因素

計(jì)算機(jī)網(wǎng)絡(luò)安全所面臨的威脅是多方面的，一般認(rèn)為，目前網(wǎng)絡(luò)存在的威脅主要表現(xiàn)在： 1.1非授權(quán)訪問

沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。

1.2信息泄漏或丟失

指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，它通常包括：信息在傳輸中丟失或泄漏(黑客利用電磁泄漏或搭線竊聽等方式可截獲機(jī)密信息，或通過對(duì)信息流向、流量、通

信頻度和長度等參數(shù)的分析，推出有用信息，如用戶口令、賬號(hào)等重要信息)、信息在存儲(chǔ)介質(zhì)中丟失或泄漏、通過建立隱蔽隧道等竊取敏感信息等。

1.3破壞數(shù)據(jù)完整性

以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。

1.4拒絕服務(wù)攻擊

它不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)

1.5利用網(wǎng)絡(luò)傳播病毒

通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶很難防范。2網(wǎng)絡(luò)安全建設(shè)方法與技術(shù)

網(wǎng)絡(luò)具有訪問方式多樣、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高的特點(diǎn)。網(wǎng)絡(luò)安全問題要從

網(wǎng)絡(luò)規(guī)劃階段制定各種策略，并在實(shí)際運(yùn)行中加強(qiáng)管理。為保障網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行和網(wǎng)絡(luò)信息的安全，需要從多個(gè)方面采取對(duì)策。攻擊隨時(shí)可能發(fā)生，系統(tǒng)隨時(shí)可能被攻破，對(duì)網(wǎng)絡(luò)的安全采取防范措施是很有必要的。常用的防范措施有以下幾種。2.1計(jì)算機(jī)病毒防治

大多數(shù)計(jì)算機(jī)都裝有殺毒軟件，如果該軟件被及時(shí)更新并正確維護(hù)，它就可以抵御大多數(shù)病毒攻擊。定期地升級(jí)軟件是很重要的。在病毒入侵系統(tǒng)時(shí)，對(duì)于病毒庫中已知的病毒或可疑程序、可疑代碼，殺毒軟件可以及時(shí)地發(fā)現(xiàn)，并向系統(tǒng)發(fā)出警報(bào)，準(zhǔn)確地查找出病毒的來源。大多數(shù)病毒能夠被清除或隔離。再有，對(duì)于不明來歷的軟件、程序及陌生郵件，不要輕易打開或執(zhí)行。感染病毒后要及時(shí)修補(bǔ)系統(tǒng)漏洞，并進(jìn)行病毒檢測和清除。2.2防火墻技術(shù)

防火墻是控制兩個(gè)網(wǎng)絡(luò)間互相訪問的一個(gè)系統(tǒng)。它通過軟件和硬件相結(jié)合，能在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間構(gòu)造起一個(gè)保護(hù)層網(wǎng)絡(luò)內(nèi)外的所有通信都必須經(jīng)過此保護(hù)層進(jìn)行檢查與連接，只有授權(quán)允許的通信才能獲準(zhǔn)通過保護(hù)層。防火墻可以阻止外界對(duì)內(nèi)部網(wǎng)絡(luò)資源的非法訪問，也可以控制內(nèi)部對(duì)外部特殊站點(diǎn)的訪問，提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。當(dāng)然，防火墻并不是萬能的，即使是經(jīng)過精心配置的防火墻也抵擋不住隱藏在看似正常數(shù)據(jù)下的通道程序。根據(jù)需要合理的配置防火墻，盡量少開端口，采用過濾嚴(yán)格WEB程序以及加密HTTP協(xié)議，管理好內(nèi)部網(wǎng)絡(luò)用戶，經(jīng)常升級(jí)，這樣可以更好地利用防火墻保護(hù)網(wǎng)絡(luò)的安全。2.3入侵檢測

攻擊者進(jìn)行網(wǎng)絡(luò)攻擊和入侵的原因，在于計(jì)算機(jī)網(wǎng)絡(luò)中存在著可以為攻擊者所利用的安全弱點(diǎn)、漏洞以及不安全的配置，比如操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、TCP／IP協(xié)議、應(yīng)用程序、網(wǎng)絡(luò)設(shè)備等幾個(gè)方面。如果網(wǎng)絡(luò)系統(tǒng)缺少預(yù)警防護(hù)機(jī)制，那么即使攻擊者已經(jīng)侵入到內(nèi)部網(wǎng)絡(luò)，侵入到關(guān)鍵的主機(jī)，并從事非法的操作，我們的網(wǎng)管人員也很難察覺到。這樣，攻擊者就有足夠的時(shí)間來做他們想做的任何事情?；诰W(wǎng)絡(luò)的IDS，即入侵檢測系統(tǒng)，可以提供全天候的網(wǎng)絡(luò)監(jiān)控，幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊事件，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。IDS可以分析網(wǎng)絡(luò)中的分組數(shù)據(jù)流，當(dāng)檢測到未經(jīng)授權(quán)的活動(dòng)時(shí)，IDS可以向管理控制臺(tái)發(fā)送警告，其中含有詳細(xì)的活動(dòng)信息，還可以要求其他系統(tǒng)(例如路由器)中斷未經(jīng)授權(quán)的進(jìn)程。IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。2.4安全漏洞掃描技術(shù)

安全漏洞掃描技術(shù)可以自動(dòng)檢測遠(yuǎn)程或本地主機(jī)安全性上的弱點(diǎn)，讓網(wǎng)絡(luò)管理人員能在入侵者發(fā)現(xiàn)安全漏洞之前，找到并修補(bǔ)這些安全漏洞。安全漏洞掃描軟件有主機(jī)漏洞掃描，網(wǎng)絡(luò)漏洞掃描，以及專門針對(duì)數(shù)據(jù)庫作安全漏洞檢查的掃描器。各類安全漏洞掃描器都要注意安全資料庫的更新，操作系統(tǒng)的漏洞隨時(shí)都在發(fā)布，只有及時(shí)更新才能完全的掃描出系統(tǒng)的漏洞，阻止黑客的入侵。2.5數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是最基本的網(wǎng)絡(luò)安全技術(shù)，被譽(yù)為信息安全的核心，最初主要用于保證數(shù)據(jù)在存儲(chǔ)和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護(hù)信息置換成密文，然后再進(jìn)行信息的存儲(chǔ)或傳輸，即使加密信息在存儲(chǔ)或者傳輸過程為非授權(quán)人員所獲得，也可以保證這些信息不為其認(rèn)知，從而達(dá)到保護(hù)信息的目的。該方法的密性直接取決于所采用的密碼算法和密鑰長度。2.6安全隔離技術(shù)

面對(duì)新型網(wǎng)絡(luò)攻擊手段的不斷出現(xiàn)和高安全網(wǎng)絡(luò)的特殊需求，全新安全防護(hù)理念"安全隔離技術(shù)應(yīng)運(yùn)而生。它的目標(biāo)是，在確保把有害攻擊隔離在可信網(wǎng)絡(luò)之外，并保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)絡(luò)間信息的安全交換。隔離概念的出現(xiàn)是為了保護(hù)高安全度網(wǎng)絡(luò)環(huán)境。

2.7黑客誘騙技術(shù)

黑客誘騙技術(shù)是近期發(fā)展起來的一種網(wǎng)絡(luò)安全技術(shù)，通過一個(gè)由網(wǎng)絡(luò)安全專家精心設(shè)置的特殊系統(tǒng)來引誘黑客，并對(duì)黑客進(jìn)行跟蹤和記錄。這種黑客誘騙系統(tǒng)通常也稱為蜜罐(Honeypot)系統(tǒng)，其最重要的功能是特殊設(shè)置的對(duì)于系統(tǒng)中所有操作的監(jiān)視和記錄，網(wǎng)絡(luò)安全專家通過精心的偽裝使得黑客在進(jìn)入到目標(biāo)系統(tǒng)后，仍不知曉自己所有的行為已處于系統(tǒng)的監(jiān)視之中。為了吸引黑客，網(wǎng)絡(luò)安全專家通常還在蜜罐系統(tǒng)上故意留下一些安全后門來吸引黑客上鉤，或者放置一些網(wǎng)絡(luò)攻擊者希望得到的敏感信息，當(dāng)然這些信息都是虛假信息。這樣，當(dāng)黑客正為攻入目標(biāo)系統(tǒng)而沾沾自喜的時(shí)候，他在目標(biāo)系統(tǒng)中的所有行為，包括輸入的字符、執(zhí)行的操作都已經(jīng)為蜜罐系統(tǒng)所記錄。有些蜜罐系統(tǒng)甚至可以對(duì)黑客網(wǎng)上聊天的內(nèi)容進(jìn)行記錄。蜜罐系統(tǒng)管理人員通過研究和分析這些記錄，可以知道黑客采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平，通過分析黑客的網(wǎng)上聊天內(nèi)容還可以獲得黑客的活動(dòng)范圍以及下一步的攻擊目標(biāo)，根據(jù)這些信息，管理人員可以提前對(duì)系統(tǒng)進(jìn)行保護(hù)。同時(shí)在蜜罐系統(tǒng)中記錄下的信息還可以作為對(duì)黑客進(jìn)行起訴的證據(jù)。2.8網(wǎng)絡(luò)安全管理防范措施

對(duì)于安全領(lǐng)域存在的問題，應(yīng)采取多種技術(shù)手段和措施進(jìn)行防范。在多種技術(shù)手段并用 的同時(shí)，管理工作同樣不容忽視。規(guī)劃網(wǎng)絡(luò)的安全策略、確定網(wǎng)絡(luò)安全工作的目標(biāo)和對(duì)象、控制用戶的訪問權(quán)限、制定書面或口頭規(guī)定、落實(shí)網(wǎng)絡(luò)管理人員的職責(zé)、加強(qiáng)網(wǎng)絡(luò)的安全管理、制定有關(guān)規(guī)章制度等等，對(duì)于確保網(wǎng)絡(luò)的安全、可靠運(yùn)行將起到十分有效的作用。網(wǎng)絡(luò)安全管理策略包括：確定安全管理等級(jí)和安全管理范圍；指定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。

第二篇：網(wǎng)絡(luò)安全與維護(hù)-演講稿

1.尊敬的各位領(lǐng)導(dǎo)、同事們：

大家好！

人類已步入信息時(shí)代，網(wǎng)絡(luò)越來越強(qiáng)烈地介入我們的生活，網(wǎng)絡(luò)世界呢是一個(gè)精彩的世界。QQ、網(wǎng)絡(luò)購物、網(wǎng)絡(luò)游戲、遠(yuǎn)程辦公，豐富并改變著我們的生活，但是精彩的背后蘊(yùn)含著危險(xiǎn)。大家可曾碰到過，你的QQ號(hào)被盜？這個(gè)很常見吧。網(wǎng)銀被盜？文檔、照片或者其他數(shù)據(jù)不見了？正在電腦上看文檔的時(shí)候，鼠標(biāo)自己動(dòng)了，恩，你的電腦中毒了，今天我們就來談一談網(wǎng)絡(luò)安全與維護(hù)。（接下來請看大屏幕）

2.尊敬的各位領(lǐng)導(dǎo)、同事們：

大家好！

伴隨著新一輪信息技術(shù)革命浪潮，互聯(lián)網(wǎng)改變了人們的生產(chǎn)、生活方式。話在網(wǎng)上說、錢在網(wǎng)上花、事在網(wǎng)上辦已經(jīng)成為一種生活常態(tài)。在充分享受互聯(lián)網(wǎng)種種便利的同時(shí)，網(wǎng)絡(luò)安全問題也相伴而生，網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)侵權(quán)時(shí)有發(fā)生，侵犯個(gè)人隱私、竊取個(gè)人信息。

網(wǎng)絡(luò)安全的案例

張先生在網(wǎng)上買書時(shí)，賣家要求他進(jìn)入一個(gè)“新世紀(jì)購物網(wǎng)站”，下載一個(gè)1分錢的訂單。張先生按照訂單的要求 就把銀行卡號(hào)和密碼都輸進(jìn)去 但過了很長一段時(shí)間 還是沒看到書 然后到銀行查賬 發(fā)現(xiàn)卡上的一萬多塊錢都沒了。所以網(wǎng)上購物應(yīng)保持警惕，不要貪便宜，更不要輕易泄露銀行賬戶和密碼。

小朱手機(jī)收到 “幸運(yùn)”提示：“恭喜您被系統(tǒng)抽中為移動(dòng)無限驚喜活動(dòng)幸運(yùn)用戶，您將獲得移動(dòng)公司送出的驚喜獎(jiǎng)金３２０００元以及三星公司贊助的Ｑ４０筆記本電腦一臺(tái)。”小朱非常興奮，就用手機(jī)打開所謂的“官方網(wǎng)站”，網(wǎng)站上清楚地寫著“需要預(yù)先支付６００元手續(xù)費(fèi)”，為了能盡快得到獎(jiǎng)金和獎(jiǎng)品，小朱匆匆到網(wǎng)吧附近的銀行，給對(duì)方提供的銀行賬號(hào)匯去了６００元錢。按照網(wǎng)頁上的要求，小朱撥打區(qū)號(hào)為０８９８的客服電話確認(rèn)時(shí)，一操南方口音的男子接電話稱需再匯６４００元的個(gè)人所得稅，此時(shí)小朱才覺得不對(duì)勁兒。

第三篇：計(jì)算機(jī)網(wǎng)絡(luò)安全與維護(hù)

《計(jì)算機(jī)網(wǎng)絡(luò)安全與維護(hù) 》期末習(xí)題

一、選擇題

1.計(jì)算機(jī)網(wǎng)絡(luò)的安全是指（C）。

A.網(wǎng)絡(luò)中設(shè)備設(shè)置環(huán)境的安全

B.網(wǎng)絡(luò)使用者的安全

C.網(wǎng)絡(luò)中信息的安全

D.網(wǎng)絡(luò)的財(cái)產(chǎn)安全

2.以下（D）不是保證網(wǎng)絡(luò)安全的要素。

A.信息的保密性B.發(fā)送信息的不可否認(rèn)性

C.數(shù)據(jù)交換的完整性D.數(shù)據(jù)存儲(chǔ)的唯一性

3.信息不泄漏給非授權(quán)的用戶、實(shí)體或過程，指的是信息（A）的特性。

A.保密性B.完整性C.可用性D.可控性

4.拒絕服務(wù)攻擊（A）

A.用超出被攻擊目標(biāo)處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)、帶寬資源等方法的攻擊

B.全稱是Distributed Denial Of Service

C.拒絕來自一個(gè)服務(wù)器所發(fā)送回應(yīng)請求的指令

D.入侵控制一個(gè)服務(wù)器后遠(yuǎn)程關(guān)機(jī)

5.當(dāng)感覺到操作系統(tǒng)運(yùn)行速度明顯減慢，打開任務(wù)管理器后發(fā)現(xiàn)CPU的使用率達(dá)到100%

時(shí)，最有可能受到（B）攻擊。

A.特洛伊木馬B.拒絕服務(wù)C.欺騙D.中間人攻擊

6.對(duì)于發(fā)彈端口型的木馬，(A）主動(dòng)打開端口，并處于監(jiān)聽狀態(tài)。

Ⅰ.木馬的客戶端Ⅱ.木馬的服務(wù)器端Ⅲ.第三服務(wù)器

A.ⅠB.ⅡC.ⅢD.Ⅰ或 Ⅲ

7.DDos攻擊破壞了（A）。

A.可用性B.保密性C.完整性D.真實(shí)性

8.在網(wǎng)絡(luò)攻擊活動(dòng)中，死亡之PING是（A）類的攻擊程序。

A.拒絕服務(wù)B.字典攻擊C.網(wǎng)絡(luò)監(jiān)聽D.病毒

9.（B）類型的軟件能夠阻止外部主機(jī)對(duì)本地計(jì)算機(jī)的端口掃描。

A.反病毒軟件B.個(gè)人防火墻

C.基于TCP/IP的檢查工具，如netstatD.加密軟件

10.局域網(wǎng)中如果某臺(tái)計(jì)算機(jī)受到了ARP欺騙，那么它發(fā)出去的數(shù)據(jù)包中，（D）地址是錯(cuò)

誤的。

A.源IP地址B.目標(biāo)IP地址C.源MAC地址D.目標(biāo)MAC地址

11.網(wǎng)絡(luò)監(jiān)聽是（B）。

A.遠(yuǎn)程觀察一個(gè)用戶的計(jì)算機(jī)B.監(jiān)視網(wǎng)絡(luò)的狀態(tài)、傳輸和數(shù)據(jù)流

C.監(jiān)視PC系統(tǒng)的運(yùn)行情況D.監(jiān)視一個(gè)網(wǎng)站的發(fā)展方向

12.熊貓燒香病毒是一種（C）。

A.單機(jī)病毒B.宏病毒C.蠕蟲病毒D.引導(dǎo)型病毒

13.計(jì)算機(jī)病毒是一種(C)

A.軟件故障B.硬件故障

C.程序D.細(xì)菌

14.以下關(guān)于加密說法正確的是（D）

A.加密包括對(duì)稱加密和非對(duì)稱加密兩種

B.信息隱藏是加密的一種方法

C.如果沒有信息加密的密鑰，只要知道加密程序的細(xì)節(jié)就可以對(duì)信息進(jìn)行解密

D.密鑰的位數(shù)越多，信息的安全性越高

15.數(shù)字簽名為保證其不可更改性，雙方約定使用（A）。

A.Hash算法B.RSA算法C.CAP算法D.ACR算法

16.數(shù)字簽名技術(shù)是公開密鑰算法的一個(gè)典型應(yīng)用，在發(fā)送端，采用（B）對(duì)要發(fā)送的信息

進(jìn)行數(shù)字簽名。

A.發(fā)送者的公鑰B.發(fā)送者的私鑰

C.接收者的公鑰D.接收者的私鑰

17.DES算法是一種（B）加密算法。

A.非對(duì)稱密鑰B.對(duì)稱密鑰C.公開密鑰D.HASH

18.數(shù)字證書采用公鑰體制時(shí)，每個(gè)用戶設(shè)定一把公鑰，由本人公開，用其進(jìn)行（A）。

A.加密和驗(yàn)證簽名B.解密和簽名C.加密D.解密

19.在公開密鑰體制中，加密密鑰即（C）。

A.解密密鑰B.私密密鑰C.公開密鑰D.私有密鑰

20.為確保企業(yè)局域網(wǎng)的信息安全，防止來自Internet的黑客入侵，采用（C）可以實(shí)現(xiàn)

一定的防范作用。

A.網(wǎng)絡(luò)管理軟件B.郵件列表C.防火墻D.防病毒軟件

21.下列關(guān)于防火墻的說法正確的是（D）。

A.防火墻的安全性能是根據(jù)系統(tǒng)安全的要求而設(shè)置的B.防火墻的安全性能是一致的，一般沒有級(jí)別之分

C.防火墻不能把內(nèi)部網(wǎng)絡(luò)隔離為可信任網(wǎng)絡(luò)

D.一個(gè)防火墻只能用來對(duì)兩個(gè)網(wǎng)絡(luò)之間的互相訪問實(shí)行強(qiáng)制性管理的安全系統(tǒng)

22.（B）不是防火墻的功能。

A.過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包B.保護(hù)存儲(chǔ)數(shù)據(jù)安全

C.封堵某些禁止的訪問行為D.記錄通過防火墻的信息內(nèi)容和活動(dòng)

23.防火墻技術(shù)可分為（D）等3大類型。

A.包過濾、入侵檢測和數(shù)據(jù)加密

B.包過濾、入侵檢測和應(yīng)用代理

C.包過濾、數(shù)據(jù)代理和入侵檢測

D.包過濾、狀態(tài)檢測和應(yīng)用代理

24.有一個(gè)主機(jī)專門被用作內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的分界線。該主機(jī)有兩塊網(wǎng)卡，分別連接兩

個(gè)網(wǎng)絡(luò)。防火墻里面的系統(tǒng)可以與這臺(tái)主機(jī)通信，防火墻外面系統(tǒng)也可以與這臺(tái)主機(jī)通信，這是（A）防火墻。

A.屏蔽主機(jī)式體系結(jié)構(gòu)B.篩選路由式體系結(jié)構(gòu)

C.雙網(wǎng)主機(jī)式體系結(jié)構(gòu)D.屏蔽子網(wǎng)式體系結(jié)構(gòu)

25.對(duì)新建的應(yīng)用連接，狀態(tài)檢測檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并

在內(nèi)存中記錄下連接的相關(guān)信息，生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。這種防火墻技術(shù)稱為（B）。

A.包過濾技術(shù)B.狀態(tài)檢測技術(shù)C.代理服務(wù)技術(shù)D.以上都不正確

26.設(shè)置Windows賬戶的密碼長度最小值，通過（C）進(jìn)行設(shè)置。

A.任務(wù)管理器B.服務(wù)管理器C.本地安全策略D.本地用戶和組

27.有些病毒為了在計(jì)算機(jī)啟動(dòng)的時(shí)候自動(dòng)加載，可以更改注冊表，（C）鍵值更改注冊表

自動(dòng)加載項(xiàng)。

A.HKLMsoftwarecurrentcontrolsetservices

B.HKLMSAMSAMdomainaccountuser

C.HKLMsoftwaremicrosoftwindowscurrentversionrun

D.HKLMsoftwarecurrentcontrolsetcontrolsetup

28.IDEA密鑰的長度為(D)

A.56B.64C.124D.128

29.當(dāng)感覺到操作系統(tǒng)運(yùn)行速度明顯減慢，打開任務(wù)管理器后發(fā)現(xiàn)CPU的使用率達(dá)到100%時(shí)，最有可能受到（B）攻擊。

A.特洛伊木馬B.拒絕服務(wù)C.欺騙D.中間人攻擊

30.為了避免冒名發(fā)送數(shù)據(jù)或發(fā)送后不承認(rèn)的情況出現(xiàn)，可以采取的辦法是（B）。

A.數(shù)字水印B.數(shù)字簽名C.訪問控制D.發(fā)電子郵件確認(rèn)

31.信息安全技術(shù)的核心是(A)

A.PKIB.SETC.SSLD.ECC

32.以下算法中屬于非對(duì)稱算法的是（B）

A.DESB.RSA算法C.IDEAD.三重DES

33.包過濾型防火墻工作在（C）

A.會(huì)話層B.應(yīng)用層C.網(wǎng)絡(luò)層D.數(shù)據(jù)鏈路層

34.在防火墻技術(shù)中，內(nèi)網(wǎng)這一概念通常指的是(A)

A.受信網(wǎng)絡(luò)B.非受信網(wǎng)絡(luò)C.防火墻內(nèi)的網(wǎng)絡(luò)D.互聯(lián)網(wǎng)

三、判斷題

1)

2)

3)

4)

5)設(shè)計(jì)初期，TCP/IP通信協(xié)議并沒有考慮到安全性問題。（√）目前沒有理想的方法可以徹底根除IP地址欺騙。（√）GIF和JPG格式的文件不會(huì)感染病毒。（×）緩沖區(qū)溢出并不是一種針對(duì)網(wǎng)絡(luò)的攻擊方法。（×）DDoS攻擊破壞性大，難以防范，也難以查找攻擊源，被認(rèn)為是當(dāng)前最有效的攻擊手法。

（√）

6)入侵檢測系統(tǒng)能夠完成入侵檢測任務(wù)的前提是監(jiān)控、分析用戶和系統(tǒng)的活動(dòng)。（√）

7)防火墻將限制有用的網(wǎng)絡(luò)服務(wù)。（√）

8)計(jì)算機(jī)信息系統(tǒng)的安全威脅同時(shí)來自內(nèi)、外兩個(gè)方面。（√）

9)包過濾防火墻可以防御SYN式掃描。（×）

10)冒充信件回復(fù)、冒名Yahoo發(fā)信、下載電子賀卡同意書，使用的是叫做“字典攻擊”的方法。（×）

11)當(dāng)服務(wù)器遭受到Dos攻擊的時(shí)候，只需要重新啟動(dòng)系統(tǒng)就可以攻擊。（×）

12)在Outlook Express中僅預(yù)覽郵件的內(nèi)容而不打開郵件的附件是不會(huì)中毒的。（×）

13)木馬與傳統(tǒng)病毒不同的是：木馬不自我復(fù)制。（√）

14)只是從被感染磁盤上復(fù)制文件到硬盤上并不運(yùn)行其中的可執(zhí)行文件不會(huì)使系統(tǒng)感染病

毒。（×）

15)重新格式化硬盤可以清除所有病毒。（×）

16)DES屬于公開密鑰算法。（×）

17)狀態(tài)檢測防火墻可以防御SYN式掃描。（√）

18)計(jì)算機(jī)網(wǎng)絡(luò)的安全是指網(wǎng)絡(luò)設(shè)備設(shè)置環(huán)境的安全。（×）

19)灰鴿子是傳統(tǒng)木馬，服務(wù)器端主動(dòng)打開端口。(×)

20)文本文件不會(huì)感染宏病毒。（×）

21)IP過濾型防火墻在應(yīng)用層進(jìn)行網(wǎng)絡(luò)信息流動(dòng)控制。（×）

22)在混合加密體系中，使用對(duì)稱加密算法對(duì)要發(fā)送的數(shù)據(jù)進(jìn)行加密，其密鑰則使用非對(duì)稱

加密算法進(jìn)行加密。（√）

23)一般來說，Window XP的進(jìn)程中有４個(gè)以上的svchost.exe進(jìn)程。（√）

24)PGP加密系統(tǒng)不能對(duì)磁盤進(jìn)行加密。（×）

第四篇：計(jì)算機(jī)網(wǎng)絡(luò)安全與防范畢業(yè)論文

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

鹽 城 師 范 學(xué) 院

畢業(yè)論文

2013－2014學(xué)

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

學(xué)生姓名 學(xué) 院 專 業(yè) 班 級(jí) 學(xué) 號(hào) 指導(dǎo)教師

2013年 6 月 16 日

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

摘 要

計(jì)算機(jī)網(wǎng)絡(luò)飛速發(fā)展的同時(shí)，安全問題不容忽視。網(wǎng)絡(luò)安全經(jīng)過了二十多年的發(fā)展，已經(jīng)發(fā)展成為一個(gè)跨多門學(xué)科的綜合性科學(xué)，它包括：通信技術(shù)、網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)軟件、硬件設(shè)計(jì)技術(shù)、密碼學(xué)、網(wǎng)絡(luò)安全與計(jì)算機(jī)安全技術(shù)等。

在理論上，網(wǎng)絡(luò)安全是建立在密碼學(xué)以及網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)上的。密碼學(xué)是網(wǎng)絡(luò)安全的核心，利用密碼技術(shù)對(duì)信息進(jìn)行加密傳輸、加密存儲(chǔ)、數(shù)據(jù)完整性鑒別、用戶身份鑒別等，比傳統(tǒng)意義上簡單的存取控制和授權(quán)等技術(shù)更可靠。加密算法是一些公式和法則，它規(guī)定了明文和密文之間的變換方法。由于加密算法的公開化和解密技術(shù)的發(fā)展，加上發(fā)達(dá)國家對(duì)關(guān)鍵加密算法的出口限制，各個(gè)國家正不斷致力于開發(fā)和設(shè)計(jì)新的加密算法和加密機(jī)制。

從技術(shù)上，[2]網(wǎng)絡(luò)安全取決于兩個(gè)方面：網(wǎng)絡(luò)設(shè)備的硬件和軟件。網(wǎng)絡(luò)安全則由網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合來實(shí)現(xiàn)的。但是，由于網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)對(duì)其上的信息提供的一種增值服務(wù)，人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡(luò)的瓶頸，因此，將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實(shí)現(xiàn)，實(shí)現(xiàn)線速的安全處理仍然將是網(wǎng)絡(luò)安全發(fā)展的一個(gè)主要方向。

在安全技術(shù)不斷發(fā)展的同時(shí)，全面加強(qiáng)安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個(gè)重要內(nèi)容。因?yàn)榧词褂辛司W(wǎng)絡(luò)安全的理論基礎(chǔ)，沒有對(duì)網(wǎng)絡(luò)安全的深刻認(rèn)識(shí)、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中，那么談再多的網(wǎng)絡(luò)安全也是無用的。同時(shí)，網(wǎng)絡(luò)安全不僅僅是防火墻，也不是防病毒、入侵監(jiān)測、防火墻、身份認(rèn)證、加密等產(chǎn)品的簡單堆砌，而是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機(jī)結(jié)合。

總之，網(wǎng)絡(luò)在今后的發(fā)展過程中不再僅僅是一個(gè)工具，也不再是一個(gè)遙不可及僅供少數(shù)人使用的技術(shù)專利，它將成為一種文化、一種生活融入到社會(huì)的各個(gè)領(lǐng)域。

關(guān)鍵詞：計(jì)算機(jī)；網(wǎng)絡(luò)；安全；防范

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

[5]Use of information technology to people's lives, ringing all aspects of the work of the

Abstract

convenience and benefits of countless, but the computer information technology and other technologies, like a double-edged sword.When most people practical information technology to improve efficiency, create more wealth for the community, while others are doing the opposite use of information technology may do.They hacking of computer systems to steal confidential information, data tampering and break pots, to society is difficult to estimate the tremendous loss.According to statistics, about 20 seconds, a global computer intrusion incidents, Internet firewall on the network about 1 / 4 was broken, about 70% of executives report network information disclosure of confidential information received the loss.Network security is a matter of national security and sovereignty, social stability, democratic culture, inherit and carry forward the important issue of network security related to computer science, network technology, communication technology, cryptography, information security technology, applied mathematics, number theory, information theory, etc.a variety of science.This paper analyzes the current existence of network security threats and could face attack, network attack was designed and implemented defensive measures, and research-based strategy is proposed as the core of a secure, protection, detection and response as a means A campus network security system to ensure the safety of the campus network, a practical solution.For example: a firewall, authentication encryption, anti-virus technology is today commonly used method, this method of in-depth exploration of these various aspects of network security problems, can make the reader's understanding of network security technology.Keywords: network security, security, network, firewall, intrusion detection, Telnet, TCSEC, P2DR

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

目 錄

摘 要......................................................................I 目 錄.....................................................................IV 第1章 緒 論..............................................................1 1.1 計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展前景...................................................1 1.2 本章小結(jié)............................................錯(cuò)誤！未定義書簽。第2章 計(jì)算機(jī)網(wǎng)絡(luò)安全概述..................................................2 2.1 計(jì)算機(jī)網(wǎng)絡(luò)安全的概念.................................................2 2.2 計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀...................................................3 2.3 本章小結(jié)............................................錯(cuò)誤！未定義書簽。第3章 網(wǎng)絡(luò)安全的威脅因素..................................................4 3.1 網(wǎng)絡(luò)安全的威脅因素...................................................4 3.2 本章小結(jié)............................................錯(cuò)誤！未定義書簽。第4章 幾種常用的網(wǎng)絡(luò)安全技術(shù)..............................................4 4.1 防火墻技術(shù)...........................................................4 4.1.1 防火墻的主要功能.................................................5 4.1.2 防火墻的主要優(yōu)點(diǎn).................................................5 4.1.3 防火墻的主要缺陷.................................................6 4.1.4 防火墻的分類.....................................................6 4.1.5 防火墻的部署.....................................................7 4.2 數(shù)據(jù)加密技術(shù).........................................................8 4.3 系統(tǒng)容災(zāi)技術(shù).........................................................8 4.4 入侵檢測技術(shù).........................................................9 4.4.1 入侵檢測系統(tǒng)的分類...............................................9

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

4.4.2 目前入侵檢測系統(tǒng)的缺陷..........................................10 4.4.3 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動(dòng)..................................10 4.4.4 結(jié)語............................................錯(cuò)誤！未定義書簽。4.5 漏洞掃描技術(shù)........................................................11 4.6 物理安全............................................................11 4.7 本章小結(jié)............................................錯(cuò)誤！未定義書簽。第5章 結(jié)束語與展望.......................................................11 5.1 論文總結(jié)............................................................11 5.2 工作展望............................................................12 致 謝.....................................................................13 參考文獻(xiàn)..................................................................14

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

第1章 緒 論

1.1 計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展前景

[1]計(jì)算機(jī)網(wǎng)絡(luò)就是計(jì)算機(jī)之間通過連接介質(zhì)(如網(wǎng)絡(luò)線、光纖等)互聯(lián)起來，按照網(wǎng)絡(luò)協(xié)議進(jìn)行數(shù)據(jù)通信，實(shí)現(xiàn)資源共享的一種組織形式。計(jì)算機(jī)網(wǎng)絡(luò)是二十世紀(jì)60年代起源于美國，原本用于軍事通訊，后逐漸進(jìn)入民用，經(jīng)過短短40年不斷的發(fā)展和完善，現(xiàn)已廣泛應(yīng)用于各個(gè)領(lǐng)域，并正以高速向前邁進(jìn)。在不久的將來，我們將看到一個(gè)充滿虛擬性的新時(shí)代。在這個(gè)虛擬時(shí)代，人們的工作和生活方式都會(huì)極大地改變，那時(shí)我們將進(jìn)行虛擬旅行，讀虛擬大學(xué)，在虛擬辦公室里工作，進(jìn)行虛擬的駕車測試等。

對(duì)計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的前景，我有如下看法：

〔1〕全球因特網(wǎng)裝置之間的通信量將超過人與人之間的通信量。因特網(wǎng)將從一個(gè)單純的大型數(shù)據(jù)中心發(fā)展成為一個(gè)更加聰明的高智商網(wǎng)絡(luò)，將成為人與信息之間的高層調(diào)節(jié)者。其中的個(gè)人網(wǎng)站復(fù)制功能將不斷預(yù)期人們的信息需求和喜好，用戶將通過網(wǎng)站復(fù)制功能篩選網(wǎng)站，過濾掉與己無關(guān)的信息并將所需信息以最佳格式展現(xiàn)出來。同時(shí)，個(gè)人及企業(yè)將獲得大量個(gè)性化服務(wù)。這些服務(wù)將會(huì)由軟件設(shè)計(jì)人員在一個(gè)開放的平臺(tái)中實(shí)現(xiàn)。由軟件驅(qū)動(dòng)的智能網(wǎng)技術(shù)和無線技術(shù)將使網(wǎng)絡(luò)觸角伸向人們所能到達(dá)的任何角落，同時(shí)允許人們自行選擇接收信息的形式。

〔2〕帶寬的成本將變得非常低廉，甚至可以忽略不計(jì)。隨著帶寬瓶頸的突破，未來網(wǎng)絡(luò)的收費(fèi)將來自服務(wù)而不是帶寬。交互性的服務(wù)，如節(jié)目聯(lián)網(wǎng)的視頻游戲、電子報(bào)紙和雜志等服務(wù)將會(huì)成為未來網(wǎng)絡(luò)價(jià)值的主體。

〔3〕計(jì)算機(jī)網(wǎng)絡(luò)飛速發(fā)展的同時(shí)，安全問題不容忽視。網(wǎng)絡(luò)安全經(jīng)過了二十多年的發(fā)展，已經(jīng)發(fā)展成為一個(gè)跨多門學(xué)科的綜合性科學(xué)，它包括：通信技術(shù)、網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)軟件、硬件設(shè)計(jì)技術(shù)、密碼學(xué)、網(wǎng)絡(luò)安全與計(jì)算機(jī)安全技術(shù)等。

在理論上，網(wǎng)絡(luò)安全是建立在密碼學(xué)以及網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)上的。密碼學(xué)是網(wǎng)絡(luò)安全的核心，利用密碼技術(shù)對(duì)信息進(jìn)行加密傳輸、加密存儲(chǔ)、數(shù)據(jù)完整性鑒別、用戶身份鑒別等，比傳統(tǒng)意義上簡單的存取控制和授權(quán)等技術(shù)更可靠。加密算法是一些公式和法則，它規(guī)定了明文和密文之間的變換方法。由于加密算法的公開化和解密技術(shù)的發(fā)展，加上發(fā)達(dá)國家對(duì)關(guān)鍵加密算法的出口限制，各個(gè)國家正不斷致力于開發(fā)和設(shè)計(jì)新的加密算法和加密機(jī)制。

從技術(shù)上，網(wǎng)絡(luò)安全取決于兩個(gè)方面：網(wǎng)絡(luò)設(shè)備的硬件和軟件。網(wǎng)絡(luò)安全則由網(wǎng)絡(luò)設(shè)

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

備的軟件和硬件互相配合來實(shí)現(xiàn)的。但是，由于網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)對(duì)其上的信息提供的一種增值服務(wù)，人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡(luò)的瓶頸，因此，將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實(shí)現(xiàn)，實(shí)現(xiàn)線速的安全處理仍然將是網(wǎng)絡(luò)安全發(fā)展的一個(gè)主要方向。

在安全技術(shù)不斷發(fā)展的同時(shí)，全面加強(qiáng)安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個(gè)重要內(nèi)容。因?yàn)榧词褂辛司W(wǎng)絡(luò)安全的理論基礎(chǔ)，沒有對(duì)網(wǎng)絡(luò)安全的深刻認(rèn)識(shí)、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中，那么談再多的網(wǎng)絡(luò)安全也是無用的。同時(shí)，網(wǎng)絡(luò)安全不僅僅是防火墻，也不是防病毒、入侵監(jiān)測、防火墻、身份認(rèn)證、加密等產(chǎn)品的簡單堆砌，而是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機(jī)結(jié)合。

總之，網(wǎng)絡(luò)在今后的發(fā)展過程中不再僅僅是一個(gè)工具，也不再是一個(gè)遙不可及僅供少數(shù)人使用的技術(shù)專利，它將成為一種文化、一種生活融入到社會(huì)的各個(gè)領(lǐng)域。

第2章 計(jì)算機(jī)網(wǎng)絡(luò)安全概述

2.1 計(jì)算機(jī)網(wǎng)絡(luò)安全的概念

國際標(biāo)準(zhǔn)化組織將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對(duì)信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。從普通使用者的角度來說，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。

從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

2.2 計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀

計(jì)算機(jī)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計(jì)算機(jī)和網(wǎng)絡(luò)安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了計(jì)算機(jī)病毒的種類，而且許多攻擊都是致命的。[6]在Internet網(wǎng)絡(luò)上，因互聯(lián)網(wǎng)本身沒有時(shí)空和地域的限制，每當(dāng)有一種新的攻擊手段產(chǎn)生，就能在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進(jìn)行攻擊從而造成計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)癱瘓。蠕蟲、后門(Back-doors)、DOS和Sniffer(網(wǎng)路監(jiān)聽)是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力，時(shí)至今日，有愈演愈烈之勢。這幾類攻擊手段的新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化，攻擊目標(biāo)直指互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次。從Web程序的控制程序到內(nèi)核級(jí)Rootlets。黑客的攻擊手法不斷升級(jí)翻新，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

第3章 網(wǎng)絡(luò)安全的威脅因素

3.1 網(wǎng)絡(luò)安全的威脅因素

歸納起來，針對(duì)網(wǎng)絡(luò)安全的威脅主要有:軟件漏洞、配置不當(dāng)、安全意識(shí)不強(qiáng)、病毒、黑客攻擊等。

〔1〕軟件漏洞：

每一個(gè)操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這就使我們的計(jì)算機(jī)處于危險(xiǎn)的境地，一旦連接入網(wǎng)，將成為眾矢之的。

〔2〕配置不當(dāng): 安全配置不當(dāng)造成安全漏洞，例如，防火墻軟件的配置不正確，那么它根本不起作用。對(duì)特定的網(wǎng)絡(luò)應(yīng)用程序，當(dāng)它啟動(dòng)時(shí)，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應(yīng)用軟件也會(huì)被啟用。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置，否則，安全隱患始終存在。

〔3〕安全意識(shí)不強(qiáng): 用戶口令選擇不慎，或?qū)⒆约旱膸ぬ?hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來威脅。

〔4〕病毒: 目前數(shù)據(jù)安全的頭號(hào)大敵是計(jì)算機(jī)病毒，它是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù)，影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點(diǎn)。因此，提高對(duì)病毒的防范刻不容緩。

〔5〕黑客攻擊: 對(duì)于計(jì)算機(jī)數(shù)據(jù)安全構(gòu)成威脅的另一個(gè)方面是來自電腦黑客(backer)。電腦黑客利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計(jì)算機(jī)系統(tǒng)，其危害性非常大。從某種意義上講，黑客對(duì)信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。

第4章 幾種常用的網(wǎng)絡(luò)安全技術(shù)

4.1 防火墻技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

網(wǎng)絡(luò)安全所說的防火墻(Fire Wall)是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點(diǎn)上。所有來自Internet（外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻[3]。4.1.1 防火墻的主要功能

防火墻的主要功能包括：

〔1〕防火墻可以對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，從而過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。

〔2〕防火墻可以關(guān)閉不使用的端口，而且它還能禁止特定端口的輸出信息。〔3〕防火墻可以禁止來自特殊站點(diǎn)的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務(wù)和控制非法用戶對(duì)網(wǎng)絡(luò)的訪問。

〔4〕防火墻可以控制網(wǎng)絡(luò)內(nèi)部人員對(duì)Internet上特殊站點(diǎn)的訪問。〔5〕防火墻提供了監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。4.1.2 防火墻的主要優(yōu)點(diǎn)

防火墻的主要優(yōu)點(diǎn)包括: 〔1〕可作為網(wǎng)絡(luò)安全策略的焦點(diǎn)

防火墻可作為網(wǎng)絡(luò)通信的阻塞點(diǎn)。所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過防火墻。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來，將承擔(dān)風(fēng)險(xiǎn)的范圍從整個(gè)內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺(tái)或幾臺(tái)主機(jī)上。從而在結(jié)構(gòu)上形成了一個(gè)控制中心，極大地加強(qiáng)了網(wǎng)絡(luò)安全，并簡化了網(wǎng)絡(luò)管理。

〔2〕可以有效記錄網(wǎng)絡(luò)活動(dòng)

由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間，即所有傳輸?shù)男畔⒍紩?huì)穿過防火墻。所以，防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息，提供監(jiān)視、管理與審計(jì)網(wǎng)絡(luò)的使用和預(yù)警功能。

〔3〕為解決IP地址危機(jī)提供了可行方案

由于Internet的日益發(fā)展及IP地址空間有限，使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

4.1.3 防火墻的主要缺陷

由于互聯(lián)網(wǎng)的開放性，防火墻也有一些弱點(diǎn)，使它不能完全保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有：

〔1〕防火墻對(duì)繞過它的攻擊行為無能為力。

〔2〕防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對(duì)于病毒只能安裝反病毒軟件。

〔3〕防火墻需要有特殊的較為封閉的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來支持。網(wǎng)絡(luò)安全性的提高往往是以犧牲網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價(jià)。4.1.4 防火墻的分類

防火墻的實(shí)現(xiàn)從層次上大體可分為三類：包過濾防火墻，代理防火墻和復(fù)合型防火墻。

〔1〕包過濾防火墻

包過濾防火墻是在IP層實(shí)現(xiàn)，它可以只用路由器來實(shí)現(xiàn)。包過濾防火墻根據(jù)報(bào)文的源IP地址，目的IP地址、源端口、目的端口和報(bào)文傳遞方向等報(bào)頭信息來判斷是否允許有報(bào)文通過。

包過濾路由器的最大優(yōu)點(diǎn)是：對(duì)用戶來說是透明的，即不需要用戶名和密碼來登陸。

包過濾路由器的弊端是明顯的，由于它通常沒有用戶的使用記錄，我們不能從訪問中發(fā)現(xiàn)黑客的攻擊記錄。它還有一個(gè)致命的弱點(diǎn)，就是不能在用戶級(jí)別上進(jìn)行過濾，即不能識(shí)別用戶與防止IP地址的盜用。如果攻擊者將自己的主機(jī)設(shè)置為一個(gè)合法主機(jī)的IP地址，則很容易地通過包過濾防火墻。

〔2〕代理防火墻

代理防火墻也叫應(yīng)用層網(wǎng)關(guān)防火墻，包過濾防火墻可以按照IP地址來禁止未授權(quán)者的訪問。但它不適合單位用來控制內(nèi)部人員訪問外部網(wǎng)絡(luò)，對(duì)于這樣的企業(yè)，應(yīng)用代理防火墻是更好的選擇。

代理服務(wù)是設(shè)置在Internet防火墻網(wǎng)關(guān)上的應(yīng)用，是在網(wǎng)管員允許下或拒絕的特定的應(yīng)用程序或者特定服務(wù)，一般情況下可應(yīng)用于特定的互聯(lián)網(wǎng)服務(wù)，如超文本傳輸、遠(yuǎn)程文件傳輸?shù)?。同時(shí)還可應(yīng)用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。

應(yīng)用層網(wǎng)關(guān)包括應(yīng)用代理服務(wù)器、回路級(jí)代理服務(wù)器、代管服務(wù)器、IP通道、網(wǎng)絡(luò)

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

地址轉(zhuǎn)換器、隔離域名服務(wù)器和郵件技術(shù)等。

〔3〕復(fù)合型防火墻

復(fù)合型防火墻是將數(shù)據(jù)包過濾和代理服務(wù)結(jié)合在一起使用，從而實(shí)現(xiàn)了網(wǎng)絡(luò)安全性、性能和透明度的優(yōu)勢互補(bǔ)。

隨著技術(shù)的發(fā)展，防火墻產(chǎn)品還在不斷完善、發(fā)展。目前出現(xiàn)的新技術(shù)類型主要有以下幾種：狀態(tài)監(jiān)視技術(shù)、安全操作系統(tǒng)、自適應(yīng)代理技術(shù)、實(shí)時(shí)侵入檢測系統(tǒng)等?；旌鲜褂脭?shù)據(jù)包過濾技術(shù)、代理服務(wù)技術(shù)和一些新技術(shù)是未來防火墻的趨勢。4.1.5 防火墻的部署

防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備，只有在關(guān)鍵網(wǎng)絡(luò)流量通過防火墻的時(shí)候，防火墻才能對(duì)此實(shí)行檢查，防護(hù)功能。

〔1〕防火墻的位置一般是內(nèi)網(wǎng)與外網(wǎng)的接合處，用來阻止來自外部網(wǎng)絡(luò)的入侵?！?〕如果內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置虛擬局域網(wǎng)（VLAN），則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻。

〔3〕通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間應(yīng)該設(shè)置防火墻。〔4〕主干交換機(jī)至服務(wù)器區(qū)域工作組交換機(jī)的骨干鏈路上。〔5〕遠(yuǎn)程撥號(hào)服務(wù)器與骨干交換機(jī)或路由器之間。

總之，在網(wǎng)絡(luò)拓?fù)渖?，防火墻?yīng)當(dāng)處在網(wǎng)絡(luò)的出口與不同安全等級(jí)區(qū)域的結(jié)合處。安裝防火墻的原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)還是外部網(wǎng)的連接處都應(yīng)安裝防火墻。

防火墻技術(shù)是指網(wǎng)絡(luò)之間通過預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制的安全應(yīng)用措施。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。由于它簡單實(shí)用且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下，達(dá)到一定的安全要求，所以被廣泛使用。據(jù)預(yù)測近5年世界防火墻需求的年增長率將達(dá)到174%。

目前，市場上防火墻產(chǎn)品很多，一些廠商還把防火墻技術(shù)并入其硬件產(chǎn)品中，即在其硬件產(chǎn)品中采取功能更加先進(jìn)的安全防范機(jī)制?？梢灶A(yù)見防火墻技術(shù)作為一種簡單實(shí)用的網(wǎng)絡(luò)信息安全技術(shù)將得到進(jìn)一步發(fā)展。然而，防火墻也并非人們想象的那樣不可滲透。在過去的統(tǒng)計(jì)中曾遭受過黑客入侵的網(wǎng)絡(luò)用戶有三分之一是有防火墻保護(hù)的，也就是說要保證網(wǎng)絡(luò)信息的安全還必須有其他一系列措施，例如對(duì)數(shù)據(jù)進(jìn)行加密處理。需要說明的是防火墻只能抵御來自外部網(wǎng)絡(luò)的侵?jǐn)_，而對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的安全卻無能為力。要保證企業(yè)內(nèi)

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

部網(wǎng)的安全，還需通過對(duì)內(nèi)部網(wǎng)絡(luò)的有效控制和管理來實(shí)現(xiàn)。

4.2 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)就是對(duì)信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息、的真實(shí)內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。

數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術(shù)4種。數(shù)據(jù)存儲(chǔ)加密技術(shù)是以防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲(chǔ)和存取控制兩種;數(shù)據(jù)傳輸加密技術(shù)的目的是對(duì)傳輸中的數(shù)據(jù)流加密，常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術(shù)的目的是對(duì)介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證，達(dá)到保密的要求，系統(tǒng)通過對(duì)比驗(yàn)證對(duì)象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)。數(shù)據(jù)加密在許多場合集中表現(xiàn)為密匙的應(yīng)用，密匙管理技術(shù)事實(shí)上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。

數(shù)據(jù)加密技術(shù)主要是通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性，能夠有效地防止機(jī)密信息的泄漏。另外，它也廣泛地被應(yīng)用于信息鑒別、數(shù)字簽名等技術(shù)中，用來防止電子欺騙，這對(duì)信息處理系統(tǒng)的安全起到極其重要的作用。

4.3 系統(tǒng)容災(zāi)技術(shù)

一個(gè)完整的網(wǎng)絡(luò)安全體系，只有防范和檢測措施是不夠的，還必須具有災(zāi)難容忍和系統(tǒng)恢復(fù)能力。因?yàn)槿魏我环N網(wǎng)絡(luò)安全設(shè)施都不可能做到萬無一失，一旦發(fā)生漏防漏檢事件，其后果將是災(zāi)難性的。此外，天災(zāi)人禍、不可抗力等所導(dǎo)致的事故也會(huì)對(duì)信息系統(tǒng)造成毀滅性的破壞。這就要求即使發(fā)生系統(tǒng)災(zāi)難，也能快速地恢復(fù)系統(tǒng)和數(shù)據(jù)，才能完整地保護(hù)網(wǎng)絡(luò)信息系統(tǒng)的安全。現(xiàn)階段主要有基于數(shù)據(jù)備份和基于系統(tǒng)容錯(cuò)的系統(tǒng)容災(zāi)技術(shù)。數(shù)據(jù)備份是數(shù)據(jù)保護(hù)的最后屏障，不允許有任何閃失。但離線介質(zhì)不能保證安全。數(shù)據(jù)容災(zāi)通過IP容災(zāi)技術(shù)來保證數(shù)據(jù)的安全。數(shù)據(jù)容災(zāi)使用兩個(gè)存儲(chǔ)器，在兩者之間建立復(fù)制關(guān)系，一個(gè)放在本地，另一個(gè)放在異地。本地存儲(chǔ)器供本地備份系統(tǒng)使用，異地容災(zāi)備份存儲(chǔ)器實(shí)時(shí)復(fù)制本地備份存儲(chǔ)器的關(guān)鍵數(shù)據(jù)。二者通過IP相連，構(gòu)成完整的數(shù)據(jù)容災(zāi)系統(tǒng)，也能提供數(shù)據(jù)庫容災(zāi)功能。

集群技術(shù)是一種系統(tǒng)級(jí)的系統(tǒng)容錯(cuò)技術(shù)，通過對(duì)系統(tǒng)的整體冗余和容錯(cuò)來解決系統(tǒng)任何部件失效而引起的系統(tǒng)死機(jī)和不可用問題。集群系統(tǒng)可以采用雙機(jī)熱備份、本地集群網(wǎng)

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

絡(luò)和異地集群網(wǎng)絡(luò)等多種形式實(shí)現(xiàn)，分別提供不同的系統(tǒng)可用性和容災(zāi)性。其中異地集群網(wǎng)絡(luò)的容災(zāi)性是最好的。存儲(chǔ)、備份和容災(zāi)技術(shù)的充分結(jié)合，構(gòu)成的數(shù)據(jù)存儲(chǔ)系統(tǒng)，是數(shù)據(jù)技術(shù)發(fā)展的重要階段。隨著存儲(chǔ)網(wǎng)絡(luò)化時(shí)代的發(fā)展，傳統(tǒng)的功能單一的存儲(chǔ)器，將越來越讓位于一體化的多功能網(wǎng)絡(luò)存儲(chǔ)器。

4.4 入侵檢測技術(shù)

入侵檢測技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息（系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等），并對(duì)這些信息進(jìn)行分析和判斷。通過檢測網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為，入侵檢測系統(tǒng)可以及時(shí)發(fā)現(xiàn)攻擊或異常行為并進(jìn)行阻斷、記錄、報(bào)警等響應(yīng)，從而將攻擊行為帶來的破壞和影響降至最低。同時(shí)，入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、識(shí)別異常行為和攻擊行為（通過異常檢測和模式匹配等技術(shù)）、對(duì)攻擊行為或異常行為進(jìn)行響應(yīng)、審計(jì)和跟蹤等。

典型的IDS系統(tǒng)模型包括4個(gè)功能部件： 〔1〕事件產(chǎn)生器，提供事件記錄流的信息源。

〔2〕事件分析器，這是發(fā)現(xiàn)入侵跡象的分析引擎。

〔3〕響應(yīng)單元，這是基于分析引擎的分析結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件。

〔4〕事件數(shù)據(jù)庫，這是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。4.4.1 入侵檢測系統(tǒng)的分類

入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)來源不同，可分為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機(jī)的入侵檢測系統(tǒng)。

[4]網(wǎng)絡(luò)型入侵檢測系統(tǒng)的實(shí)現(xiàn)方式是將某臺(tái)主機(jī)的網(wǎng)卡設(shè)置成混雜模式，監(jiān)聽本網(wǎng)段內(nèi)的所有數(shù)據(jù)包并進(jìn)行判斷或直接在路由設(shè)備上放置入侵檢測模塊。一般來說，網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)絡(luò)的任務(wù)。

主機(jī)型入侵檢測系統(tǒng)是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其它手段（如檢測系統(tǒng)調(diào)用）從所有的主機(jī)上收集信息進(jìn)行分析。

入侵檢測系統(tǒng)根據(jù)檢測的方法不同可分為兩大類：異常和誤用。

異常入侵檢測根據(jù)用戶的異常行為或?qū)Y源的異常存放來判斷是否發(fā)生了入侵事件。

誤用入侵檢測通過檢查對(duì)照已有的攻擊特征、定義攻擊模式、比較用戶的活動(dòng)來了解

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

入侵。例如，著名的Internet蠕蟲事件是利用finger上的守護(hù)進(jìn)程，允許用戶遠(yuǎn)程讀取文件系統(tǒng)，因而存在可以查看文件內(nèi)容的漏洞和(Linux上的守護(hù)進(jìn)程，利用其漏洞可取得root權(quán)限)的漏洞進(jìn)行攻擊。對(duì)這種攻擊可以使用這種檢測方法。4.4.2 目前入侵檢測系統(tǒng)的缺陷

入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全防護(hù)的重要手段，目前的IDS還存在很多問題，有待于我們進(jìn)一步完善。

〔1〕高誤報(bào)率

誤報(bào)率主要存在于兩個(gè)方面：一方面是指正常請求誤認(rèn)為入侵行為；另一方面是指對(duì)IDS用戶不關(guān)心事件的報(bào)警。導(dǎo)致IDS產(chǎn)品高誤報(bào)率的原因是IDS檢測精度過低和用戶對(duì)誤報(bào)概念的不確定。

〔2〕缺乏主動(dòng)防御功能

入侵檢測技術(shù)作為一種被動(dòng)且功能有限的安全防御技術(shù)，缺乏主動(dòng)防御功能。因此，需要在一代IDS產(chǎn)品中加入主動(dòng)防御功能，才能變被動(dòng)為主動(dòng)。4.4.3 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動(dòng)

防火墻是一個(gè)跨接多個(gè)物理網(wǎng)段的網(wǎng)絡(luò)安全關(guān)口設(shè)備。它可以對(duì)所有流經(jīng)它的流量進(jìn)行各種各樣最直接的操作處理，如無通告拒絕、ICMP拒絕、轉(zhuǎn)發(fā)通過（可轉(zhuǎn)發(fā)至任何端口）、各以報(bào)頭檢查修改、各層報(bào)文內(nèi)容檢查修改、鏈路帶寬資源管理、流量統(tǒng)計(jì)、訪問日志、協(xié)議轉(zhuǎn)換等。

當(dāng)我們實(shí)現(xiàn)防火墻與入侵檢測系統(tǒng)的相互聯(lián)動(dòng)后，IDS就不必為它所連接的鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量。因此，IDS可以將大部分的系統(tǒng)資源用于對(duì)采集報(bào)文的分析，而這正是IDS最眩目的亮點(diǎn)。IDS可以有足夠的時(shí)間和資源做些有效的防御工作，如入侵活動(dòng)報(bào)警、不同業(yè)務(wù)類別的網(wǎng)絡(luò)流量統(tǒng)計(jì)、網(wǎng)絡(luò)多種流量協(xié)議恢復(fù)（實(shí)時(shí)監(jiān)控功能）等。IDS高智能的數(shù)據(jù)分析技術(shù)、詳盡的入侵知識(shí)描述庫可以提供比防火墻更為準(zhǔn)確、更嚴(yán)格、更全面的訪問行為審查功能。

綜上所述，防火墻與IDS在功能上可以形成互補(bǔ)關(guān)系。這樣的組合較以前單一的動(dòng)態(tài)技術(shù)或靜態(tài)技術(shù)都有了較大的提高。使網(wǎng)絡(luò)的防御安全能力大大提高。防火墻與IDS的相互聯(lián)動(dòng)可以很好地發(fā)揮兩者的優(yōu)點(diǎn)，淡化各自的缺陷，使防御系統(tǒng)成為一個(gè)更加堅(jiān)固的圍墻。在未來的網(wǎng)絡(luò)安全領(lǐng)域中，動(dòng)態(tài)技術(shù)與靜態(tài)技術(shù)的聯(lián)動(dòng)將有很大的發(fā)展市場和空間。

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

4.5 漏洞掃描技術(shù)

漏洞掃描是自動(dòng)檢測遠(yuǎn)端或本地主機(jī)安全的技術(shù)，它查詢TCP/IP各種服務(wù)的端口，并記錄目標(biāo)主機(jī)的響應(yīng)，收集關(guān)于某些特定項(xiàng)目的有用信息。這項(xiàng)技術(shù)的具體實(shí)現(xiàn)就是安全掃描程序。掃描程序可以在很短的時(shí)間內(nèi)查出現(xiàn)存的安全脆弱點(diǎn)。掃描程序開發(fā)者利用可得到的攻擊方法，并把它們集成到整個(gè)掃描中，掃描后以統(tǒng)計(jì)的格式輸出，便于參考和分析。

4.6 物理安全

為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴(kuò)散。通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴(kuò)散出去的空間信號(hào)。為保證網(wǎng)絡(luò)的正常運(yùn)行，在物理安全方面應(yīng)采取如下措施:

〔1〕產(chǎn)品保障方面:主要指產(chǎn)品采購、運(yùn)輸、安裝等方面的安全措施。

〔2〕運(yùn)行安全方面:網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對(duì)一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。

〔3〕防電磁輻射方面:所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機(jī)?！?〕保安方面:主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)、安全設(shè)備的安全防護(hù)。

計(jì)算機(jī)網(wǎng)絡(luò)安全是個(gè)綜合性和復(fù)雜性的問題。面對(duì)網(wǎng)絡(luò)安全行業(yè)的飛速發(fā)展以及整個(gè)社會(huì)越來越快的信息化進(jìn)程，各種新技術(shù)將會(huì)不斷出現(xiàn)和應(yīng)用。

網(wǎng)絡(luò)安全孕育著無限的機(jī)遇和挑戰(zhàn)，作為一個(gè)熱門的研究領(lǐng)域和其擁有的重要戰(zhàn)略意義，相信未來網(wǎng)絡(luò)安全技術(shù)將會(huì)取得更加長足的發(fā)展。

第5章 結(jié)束語與展望

5.1 論文總結(jié)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。

大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的?？梢钥闯霰ＷC網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯(cuò)誤。它包括要防范那些聰明的，計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

通常也是狡猾的、專業(yè)的，并且在時(shí)間和金錢上是很充足、富有的人。同時(shí)，必須清楚地認(rèn)識(shí)到，能夠制止偶然實(shí)施破壞行為的敵人的方法對(duì)那些慣于作案的老手來說，收效甚微。對(duì)于這一問題我們應(yīng)該十分重視。

影響計(jì)算機(jī)網(wǎng)絡(luò)安全的主要因素：

〔1〕網(wǎng)絡(luò)系統(tǒng)在穩(wěn)定性和可擴(kuò)充性方面存在問題。

由于設(shè)計(jì)的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響?！?〕網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)。

一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞，其運(yùn)行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)應(yīng)用的需求沒有引起足夠的重視，設(shè)計(jì)和選型考慮欠周密，從而使網(wǎng)絡(luò)功能發(fā)揮受阻，影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級(jí)換代。二是網(wǎng)卡用工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定。

〔3〕缺乏安全策略。

許多站點(diǎn)在防火墻配置上無意識(shí)地?cái)U(kuò)大了訪問權(quán)限，忽視了這些權(quán)限可能會(huì)被其他人員濫用。

〔4〕訪問控制配置的復(fù)雜性，容易導(dǎo)致配置錯(cuò)誤，從而給他人以可乘之機(jī)?！?〕管理制度不健全，網(wǎng)絡(luò)管理、維護(hù)任其自然。

5.2 工作展望

[7]對(duì)網(wǎng)絡(luò)安全本質(zhì)的認(rèn)識(shí)卻還處于一個(gè)相當(dāng)原始的階段，其表現(xiàn)形式是基于密碼術(shù)的網(wǎng)絡(luò)安全和基于防火墻的網(wǎng)絡(luò)安全尚不能完美地結(jié)合成一種更加有效的安全機(jī)制。我們期望，如果能夠提出一個(gè)合理的數(shù)學(xué)模型，將會(huì)對(duì)網(wǎng)絡(luò)安全的研究和可實(shí)際應(yīng)用網(wǎng)絡(luò)安全系統(tǒng)的開發(fā)起非常大的促進(jìn)作用。

從實(shí)用的角度出發(fā)，目前人們已提出了一些基于人工智能的網(wǎng)絡(luò)安全檢測專家系統(tǒng)。這方面，SRI(Stanford Research Institute)和Purdue大學(xué)已做了許多工作。同時(shí)，基于主動(dòng)網(wǎng)絡(luò)安全檢測的安全系統(tǒng)的研究也已起步，在這方面，Internet Security Systems也已有一些產(chǎn)品問世。

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

致 謝

感謝所有關(guān)心、支持、幫助過我的良師益友。感謝參考文獻(xiàn)中的各位作者，真誠的感謝對(duì)我的幫助。通過這次學(xué)習(xí)，使我更深刻的認(rèn)識(shí)網(wǎng)絡(luò)安全的重要性，同時(shí)防范也是不容忽視的！

計(jì)算機(jī)網(wǎng)絡(luò)安全與防范

參考文獻(xiàn)

[1] 李軍義.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用[M].北京：北方交通大學(xué)出版社，2006.7． [2] 蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:中國水利水電出版社,2005.[3] 張嘉寧.網(wǎng)絡(luò)防火墻技術(shù)淺析[J].通信工程.2004(3).[4] 鄭成興.網(wǎng)絡(luò)入侵防范的理論與實(shí)踐[M].北京：機(jī)械工業(yè)出版社，2006.9.[5] [美] Merike Kaeo 著.網(wǎng)絡(luò)安全性設(shè)計(jì)[M].北京：人民郵電出版社，2005.9.[6] 胡道元.計(jì)算機(jī)局域網(wǎng)[M].北京:清華大學(xué)出版社.2001.[7] 朱理森，張守連.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻(xiàn)出版社，2001.

第五篇：計(jì)算機(jī)畢業(yè)論文 網(wǎng)絡(luò)安全與管理

論文關(guān)鍵字：網(wǎng)絡(luò)安全 管理 網(wǎng)絡(luò)發(fā)展 網(wǎng)絡(luò)現(xiàn)狀

一 緒論 安全管理的發(fā)展趨勢和現(xiàn)狀

1、網(wǎng)絡(luò)安全現(xiàn)狀

計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用是當(dāng)今信息社會(huì)的一場革命。電子商務(wù)和電子政務(wù)等網(wǎng)絡(luò)應(yīng)用的發(fā)展和普及不僅給我們的生活帶來了很大的便利，而且正在創(chuàng)造著巨大的財(cái)富，以Internet為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次不斷深入，應(yīng)用領(lǐng)域更是從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。

與此同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)也正面臨著日益劇增的安全威脅。廣為網(wǎng)絡(luò)用戶所知的黑客行為和攻擊活動(dòng)正以每年10倍的速度增長，網(wǎng)頁被修改、非法進(jìn)入主機(jī)、發(fā)送假冒電子郵件、進(jìn)入銀行系統(tǒng)盜取和轉(zhuǎn)移資金、竊取信息等網(wǎng)絡(luò)攻擊事件此起彼伏。計(jì)算機(jī)病毒、特洛伊木馬、拒絕服務(wù)攻擊、電子商務(wù)入侵和盜竊等，都造成了各種危害，包括機(jī)密數(shù)據(jù)被篡改和竊取、網(wǎng)站頁面被修改或丑化、網(wǎng)絡(luò)癱瘓等。網(wǎng)絡(luò)與信息安全問題日益突出，已經(jīng)成為影響國家安全、社會(huì)穩(wěn)定和人民生活的大事，發(fā)展與現(xiàn)有網(wǎng)絡(luò)技術(shù)相對(duì)應(yīng)的網(wǎng)絡(luò)安全技術(shù)，保障網(wǎng)絡(luò)安全、有序和有效的運(yùn)行，是保證互聯(lián)網(wǎng)高效、有序應(yīng)用的關(guān)鍵之一。

2、現(xiàn)有網(wǎng)絡(luò)安全技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)是基于網(wǎng)絡(luò)可識(shí)別的網(wǎng)絡(luò)協(xié)議基礎(chǔ)之上的各種網(wǎng)絡(luò)應(yīng)用的完整組合，協(xié)議本身和應(yīng)用都有可能存在問題，網(wǎng)絡(luò)安全問題包括網(wǎng)絡(luò)所使用的協(xié)議的設(shè)計(jì)問題，也包括協(xié)議和應(yīng)用的軟件實(shí)現(xiàn)問題，當(dāng)然還包括了人為的因素以及系統(tǒng)管理失誤等網(wǎng)絡(luò)安全問題，下表示意說明了這些方面的網(wǎng)絡(luò)安全問題。

問題類型 問題點(diǎn) 問題描述

協(xié)議設(shè)計(jì) 安全問題被忽視 制定協(xié)議之時(shí)，通常首先強(qiáng)調(diào)功能性，而安全性問題則是到最后一刻、甚或不列入考慮范圍。

其它基礎(chǔ)協(xié)議問題 架構(gòu)在其他不穏固基礎(chǔ)協(xié)議之上的協(xié)議，即使本身再完善也會(huì)有很多問題。

流程問題 設(shè)計(jì)協(xié)議時(shí)，對(duì)各種可能出現(xiàn)的流程問題考慮不夠周全，導(dǎo)致發(fā)生狀況時(shí)，系統(tǒng)處理方式不當(dāng)。

設(shè)計(jì)錯(cuò)誤 協(xié)議設(shè)計(jì)錯(cuò)誤，導(dǎo)致系統(tǒng)服務(wù)容易失效或招受攻擊。

軟件設(shè)計(jì) 設(shè)計(jì)錯(cuò)誤 協(xié)議規(guī)劃正確，但協(xié)議設(shè)計(jì)時(shí)發(fā)生錯(cuò)誤，或設(shè)計(jì)人員對(duì)協(xié)議的認(rèn)知錯(cuò)誤，導(dǎo)致各種安全漏洞。

程序錯(cuò)誤 程序撰寫習(xí)慣不良導(dǎo)致很多安全漏洞，包含常見的未檢查資料長度內(nèi)容、輸入資料容錯(cuò)能力不足、未檢測可能發(fā)生的錯(cuò)誤、應(yīng)用環(huán)境的假設(shè)錯(cuò)誤、引用不當(dāng)模塊、未檢測資源不足等。

人員操作 操作失誤 操作規(guī)范嚴(yán)格且完善，但是操作人員未受過良好訓(xùn)練、或未按手冊操作，導(dǎo)致各種安全漏洞和安全隱患。

系統(tǒng)維護(hù) 默認(rèn)值不安全 軟件或操作系統(tǒng)的預(yù)設(shè)設(shè)置不科學(xué)，導(dǎo)致缺省設(shè)置下系統(tǒng)處于不安全的狀況下。容易遭受病毒、蠕蟲、特洛依木馬等的攻擊。

未修補(bǔ)系統(tǒng) 軟件和操作系統(tǒng)的各種補(bǔ)丁程序沒有及時(shí)修復(fù)。

內(nèi)部安全問題 對(duì)由信任系統(tǒng)和網(wǎng)絡(luò)發(fā)起的各種攻擊防范不夠。信任領(lǐng)域存在的不安全系統(tǒng)，成為不信任領(lǐng)域內(nèi)系統(tǒng)攻擊信任領(lǐng)域的各種跳板。

針對(duì)上表所示的各種網(wǎng)絡(luò)安全問題，全世界的網(wǎng)絡(luò)安全廠商都試圖發(fā)展了各種安全技術(shù)來防范這些問題，這些技術(shù)包括訪問控制技術(shù)、識(shí)別和鑒別技術(shù)、密碼技術(shù)、完整性控制技術(shù)、審計(jì)和恢復(fù)技術(shù)、防火墻系統(tǒng)、計(jì)算機(jī)病毒防護(hù)、操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全和抗抵賴協(xié)議等，相繼陸續(xù)推出了包括防火墻、入侵檢測（IDS）、防病毒軟件、CA系統(tǒng)、加密算法等在內(nèi)的各類網(wǎng)絡(luò)安全軟件，這些技術(shù)和安全系統(tǒng)（軟件）對(duì)網(wǎng)絡(luò)系統(tǒng)提供了一定的安全防范，一定程度上解決了網(wǎng)絡(luò)安全問題某一方面的問題。

3、現(xiàn)有網(wǎng)絡(luò)安全技術(shù)的缺陷

現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)都是針對(duì)網(wǎng)絡(luò)安全問題的某一個(gè)或幾個(gè)方面來設(shè)計(jì)的，它只能相應(yīng)地在一定程度上解決這一個(gè)或幾個(gè)方面的網(wǎng)絡(luò)安全問題，無法防范和解決其他的問題，更不可能提供對(duì)整個(gè)網(wǎng)絡(luò)的系統(tǒng)、有效的保護(hù)。如身份認(rèn)證和訪問控制技術(shù)只能解決確認(rèn)網(wǎng)絡(luò)用戶身份的問題，但卻無法防止確認(rèn)的用戶之間傳遞的信息是否安全的問題，而計(jì)算機(jī)病毒防范技術(shù)只能防范計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)和系統(tǒng)的危害，但卻無法識(shí)別和確認(rèn)網(wǎng)絡(luò)上用戶的身份等等。

現(xiàn)有的各種網(wǎng)絡(luò)安全技術(shù)中，防火墻技術(shù)可以在一定程度上解決一些網(wǎng)絡(luò)安全問題。防火墻產(chǎn)品主要包括包過濾防火墻，狀態(tài)檢測包過濾防火墻和應(yīng)用層代理防火墻，但是防火墻產(chǎn)品存在著局限性。其最大的局限性就是防火墻自身不能保證其準(zhǔn)許放行的數(shù)據(jù)是否安全。同時(shí)，防火墻還存在著一些弱點(diǎn)：

一、不能防御來自內(nèi)部的攻擊：來自內(nèi)部的攻擊者是從網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊的，他們的攻擊行為不通過防火墻，而防火墻只是隔離內(nèi)部網(wǎng)與因特網(wǎng)上的主機(jī)，監(jiān)控內(nèi)部網(wǎng)和因特網(wǎng)之間的通信，而對(duì)內(nèi)部網(wǎng)上的情況不作檢查，因而對(duì)內(nèi)部的攻擊無能為力；

二、不能防御繞過防火墻的攻擊行為：從根本上講，防火墻是一種被動(dòng)的防御手段，只能守株待兔式地對(duì)通過它的數(shù)據(jù)報(bào)進(jìn)行檢查，如果該數(shù)據(jù)由于某種原因沒有通過防火墻，則防火墻就不會(huì)采取任何的措施；

三、不能防御完全新的威脅：防火墻只能防御已知的威脅，但是人們發(fā)現(xiàn)可信賴的服務(wù)中存在新的侵襲方法，可信賴的服務(wù)就變成不可信賴的了；

四、防火墻不能防御數(shù)據(jù)驅(qū)動(dòng)的攻擊：雖然防火墻掃描分析所有通過的信息，但是這種掃描分析多半是針對(duì)IP地址和端口號(hào)或者協(xié)議內(nèi)容的，而非數(shù)據(jù)細(xì)節(jié)。這樣一來，基于數(shù)據(jù)驅(qū)動(dòng)的攻擊，比如病毒，可以附在諸如電子郵件之類的東西上面進(jìn)入你的系統(tǒng)中并發(fā)動(dòng)攻擊。入侵檢測技術(shù)也存在著局限性。其最大的局限性就是漏報(bào)和誤報(bào)嚴(yán)重，它不能稱之為一個(gè)可以信賴的安全工具，而只是一個(gè)參考工具。

在沒有更為有效的安全防范產(chǎn)品之前，更多的用戶都選擇并依賴于防火墻這樣的產(chǎn)品來保障自己的網(wǎng)絡(luò)安全，然而相對(duì)應(yīng)的是，新的OS漏洞和網(wǎng)絡(luò)層攻擊層出不窮，攻破防火墻、攻擊計(jì)算機(jī)網(wǎng)絡(luò)的事件也越來越多，因此，開發(fā)一個(gè)更為完善的網(wǎng)絡(luò)安全防范系統(tǒng)來有效保護(hù)網(wǎng)絡(luò)系統(tǒng)，已經(jīng)成為各網(wǎng)絡(luò)安全廠商和用戶的共同需求和目標(biāo)。

4發(fā)展趨勢：

中國的網(wǎng)絡(luò)安全技術(shù)在近幾年得到快速的發(fā)展，這一方面得益于從中央到地方政府的廣泛重視，另一方面因?yàn)榫W(wǎng)絡(luò)安全問題日益突出，網(wǎng)絡(luò)安全企業(yè)不斷跟進(jìn)最新安全技術(shù)，不斷推出滿足用戶需求、具有時(shí)代特色的安全產(chǎn)品，進(jìn)一步促進(jìn)了網(wǎng)絡(luò)安全技術(shù)的發(fā)展。

從技術(shù)層面來看，目前網(wǎng)絡(luò)安全產(chǎn)品在發(fā)展過程中面臨的主要問題是：以往人們主要關(guān)心系統(tǒng)與網(wǎng)絡(luò)基礎(chǔ)層面的防護(hù)問題，而現(xiàn)在人們更加關(guān)注應(yīng)用層面的安全防護(hù)問題，安全防護(hù)已經(jīng)從底層或簡單數(shù)據(jù)層面上升到了應(yīng)用層面，這種應(yīng)用防護(hù)問題已經(jīng)深入到業(yè)務(wù)行為的相關(guān)性和信息內(nèi)容的語義范疇，越來越多的安全技術(shù)已經(jīng)與應(yīng)用相結(jié)合。

4.1、現(xiàn)階段網(wǎng)絡(luò)安全技術(shù)的局限性

談及網(wǎng)絡(luò)安全技術(shù)，就必須提到網(wǎng)絡(luò)安全技術(shù)的三大主流—防火墻技術(shù)、入侵檢測技術(shù)以及防病毒技術(shù)。

任何一個(gè)用戶，在剛剛開始面對(duì)安全問題的時(shí)候，考慮的往往就是這“老三樣”?？梢哉f，這三種網(wǎng)絡(luò)安全技術(shù)為整個(gè)網(wǎng)絡(luò)安全建設(shè)起到了功不可沒的作用，但是傳統(tǒng)的安全“老三樣”或者說是以其為主的安全產(chǎn)品正面臨著許多新的問題。

首先，從用戶角度來看，雖然系統(tǒng)中安裝了防火墻，但是仍避免不了蠕蟲泛濫、垃圾郵件、病毒傳播以及拒絕服務(wù)的侵?jǐn)_。

其次，未經(jīng)大規(guī)模部署的入侵檢測單個(gè)產(chǎn)品在提前預(yù)警方面存在著先天的不足，且在精確定位和全局管理方面還有很大的空間。

再次，雖然很多用戶在單機(jī)、終端上都安裝了防病毒產(chǎn)品，但是內(nèi)網(wǎng)的安全并不僅僅是防病毒的問題，還包括安全策略的執(zhí)行、外來非法侵入、補(bǔ)丁管理以及合規(guī)管理等方面。

所以說，雖然“老三樣”已經(jīng)立下了赫赫戰(zhàn)功，且仍然發(fā)揮著重要作用，但是用戶已漸漸感覺到其不足之處。其次，從網(wǎng)絡(luò)安全的整體技術(shù)框架來看，網(wǎng)絡(luò)安全技術(shù)同樣面臨著很大的問題，“老三樣”基本上還是針對(duì)數(shù)據(jù)、單個(gè)系統(tǒng)、軟硬件以及程序本身安全的保障。應(yīng)用層面的安全，需要將側(cè)重點(diǎn)集中在信息語義范疇的“內(nèi)容”和網(wǎng)絡(luò)虛擬世界的“行為”上。

4.2、技術(shù)發(fā)展趨勢分析

.防火墻技術(shù)發(fā)展趨勢

在混合攻擊肆虐的時(shí)代，單一功能的防火墻遠(yuǎn)不能滿足業(yè)務(wù)的需要，而具備多種安全功能，基于應(yīng)用協(xié)議層防御、低誤報(bào)率檢測、高可靠高性能平臺(tái)和統(tǒng)一組件化管理的技術(shù)，優(yōu)勢將得到越來越多的體現(xiàn)，UTM（UnifiedThreatManagement，統(tǒng)一威脅管理）技術(shù)應(yīng)運(yùn)而生。

從概念的定義上看，UTM既提出了具體產(chǎn)品的形態(tài)，又涵蓋了更加深遠(yuǎn)的邏輯范疇。從定義的前半部分來看，很多廠商提出的多功能安全網(wǎng)關(guān)、綜合安全網(wǎng)關(guān)、一體化安全設(shè)備都符合UTM的概念；而從后半部分來看，UTM的概念還體現(xiàn)了經(jīng)過多年發(fā)展之后，信息安全行業(yè)對(duì)安全管理的深刻理解以及對(duì)安全產(chǎn)品可用性、聯(lián)動(dòng)能力的深入研究。

UTM的功能見圖1.由于UTM設(shè)備是串聯(lián)接入的安全設(shè)備，因此UTM設(shè)備本身必須具備良好的性能和高可靠性，同時(shí)，UTM在統(tǒng)一的產(chǎn)品管理平臺(tái)下，集防火墻、VPN、網(wǎng)關(guān)防病毒、IPS、拒絕服務(wù)攻擊等眾多產(chǎn)品功能于一體，實(shí)現(xiàn)了多種防御功能，因此，向UTM方向演進(jìn)將是防火墻的發(fā)展趨勢。UTM設(shè)備應(yīng)具備以下特點(diǎn)。

（1）網(wǎng)絡(luò)安全協(xié)議層防御。防火墻作為簡單的第二到第四層的防護(hù)，主要針對(duì)像IP、端口等靜態(tài)的信息進(jìn)行防護(hù)和控制，但是真正的安全不能只停留在底層，我們需要構(gòu)建一個(gè)

更高、更強(qiáng)、更可靠的墻，除了傳統(tǒng)的訪問控制之外，還需要對(duì)垃圾郵件、拒絕服務(wù)、黑客攻擊等外部威脅起到綜合檢測和治理的作用，實(shí)現(xiàn)七層協(xié)議的保護(hù)，而不僅限于第二到第四層。

（2）通過分類檢測技術(shù)降低誤報(bào)率。串聯(lián)接入的網(wǎng)關(guān)設(shè)備一旦誤報(bào)過高，將會(huì)對(duì)用戶帶來災(zāi)難性的后果。IPS理念在20世紀(jì)90年代就已經(jīng)被提出，但是目前全世界對(duì)IPS的部署非常有限，影響其部署的一個(gè)重要問題就是誤報(bào)率。分類檢測技術(shù)可以大幅度降低誤報(bào)率，針對(duì)不同的攻擊，采取不同的檢測技術(shù)，比如防拒絕服務(wù)攻擊、防蠕蟲和黑客攻擊、防垃圾郵件攻擊、防違規(guī)短信攻擊等，從而顯著降低誤報(bào)率。

（3）有高可靠性、高性能的硬件平臺(tái)支撐。

（4）一體化的統(tǒng)一管理。由于UTM設(shè)備集多種功能于一身，因此，它必須具有能夠統(tǒng)一控制和管理的平臺(tái)，使用戶能夠有效地管理。這樣，設(shè)備平臺(tái)可以實(shí)現(xiàn)標(biāo)準(zhǔn)化并具有可擴(kuò)展性，用戶可在統(tǒng)一的平臺(tái)上進(jìn)行組件管理，同時(shí)，一體化管理也能消除信息產(chǎn)品之間由于無法溝通而帶來的信息孤島，從而在應(yīng)對(duì)各種各樣攻擊威脅的時(shí)候，能夠更好地保障用戶的網(wǎng)絡(luò)安全。

二 網(wǎng)絡(luò)安全面臨的主要問題

1.網(wǎng)絡(luò)建設(shè)單位、管理人員和技術(shù)人員缺乏安全防范意識(shí)，從而就不可能采取主動(dòng)的安全 措施加以防范，完全處于被動(dòng)挨打的位置。

2.組織和部門的有關(guān)人員對(duì)網(wǎng)絡(luò)的安全現(xiàn)狀不明確，不知道或不清楚網(wǎng)絡(luò)存在的安全隱 患，從而失去了防御攻擊的先機(jī)。

3.組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)安全防范沒有形成完整的、組織化的體系結(jié)構(gòu)，其缺陷給攻擊 者以可乘之機(jī)。

4.組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)沒有建立完善的管理體系，從而導(dǎo)致安全體系和安全控制措施 不能充分有效地發(fā)揮效能。業(yè)務(wù)活動(dòng)中存在安全疏漏，造成不必要的信息泄露，給攻擊者以收集敏感信息的機(jī)會(huì)。

5.網(wǎng)絡(luò)安全管理人員和技術(shù)有員缺乏必要的專業(yè)安全知識(shí)，不能安全地配置和管理網(wǎng)絡(luò)，不能及時(shí)發(fā)現(xiàn)已經(jīng)存在的和隨時(shí)可能出現(xiàn)的安全問題，對(duì)突發(fā)的安全事件不能作出積極、有序和有效的反應(yīng)。

三 網(wǎng)絡(luò)安全的解決辦法

實(shí)現(xiàn)網(wǎng)絡(luò)安全的過程是復(fù)雜的。這個(gè)復(fù)雜的過程需要嚴(yán)格有效的管理才能保證整個(gè)過程的有效性，才能保證安全控制措施有效地發(fā)揮其效能，從而確保實(shí)現(xiàn)預(yù)期的安全目標(biāo)。因此，建立組織的安全管理體系是網(wǎng)絡(luò)安全的核心。我們要從系統(tǒng)工程的角度構(gòu)建網(wǎng)絡(luò)的安全體系結(jié)構(gòu)，把組織和部門的所有安全措施和過程通過管理的手段融合為一個(gè)有機(jī)的整體。安全體系結(jié)構(gòu)由許多靜態(tài)的安全控制措施和動(dòng)態(tài)的安全分析過程組成。

1.安全需求分析 “知已知彼，百戰(zhàn)不殆”。只有明了自己的安全需求才能有針對(duì)性地構(gòu)建適合于自己的安全體系結(jié)構(gòu)，從而有效地保證網(wǎng)絡(luò)系統(tǒng)的安全。

2.安全風(fēng)險(xiǎn)管理 安全風(fēng)險(xiǎn)管理是對(duì)安全需求分析結(jié)果中存在的安全威脅和業(yè)務(wù)安全需求進(jìn)行風(fēng)險(xiǎn)評(píng)估，以組織和部門可以接受的投資，實(shí)現(xiàn)最大限度的安全。風(fēng)險(xiǎn)評(píng)估為制定組織和部門的安全策略和構(gòu)架安全體系結(jié)構(gòu)提供直接的依據(jù)。

3.制定安全策略 根據(jù)組織和部門的安全需求和風(fēng)險(xiǎn)評(píng)估的結(jié)論，制定組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)安全策略。

4.定期安全審核 安全審核的首要任務(wù)是審核組織的安全策略是否被有效地和正確地執(zhí)行。其次，由于網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的過程，組織和部門的計(jì)算機(jī)網(wǎng)絡(luò)的配置可能經(jīng)常變化，因此組織和部門對(duì)安全的需求也會(huì)發(fā)生變化，組織的安全策略需要進(jìn)行相應(yīng)地調(diào)整。為了在發(fā)生變化時(shí)，安全策略和控制措施能夠及時(shí)反映這種變化，必須進(jìn)行定期安全審核。

5.外部支持 計(jì)算機(jī)網(wǎng)絡(luò)安全同必要的外部支持是分不開的。通過專業(yè)的安全服務(wù)機(jī)構(gòu)的支持，將使網(wǎng)絡(luò)安全體系更加完善，并可以得到更新的安全資訊，為計(jì)算機(jī)網(wǎng)絡(luò)安全提供安全預(yù)警。

6.計(jì)算機(jī)網(wǎng)絡(luò)安全管理 安全管理是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要環(huán)節(jié)，也是計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)的基礎(chǔ)性組成部分。通過恰當(dāng)?shù)墓芾砘顒?dòng)，規(guī)范組織的各項(xiàng)業(yè)務(wù)活動(dòng)，使網(wǎng)絡(luò)有序地進(jìn)行，是獲取安全的重要條件。

四 總結(jié)

計(jì)算機(jī)網(wǎng)絡(luò)的安全問題越來越受到人們的重視，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時(shí)也是一個(gè)安全管理問題。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。