第一篇：軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題及對(duì)策

軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題及對(duì)策

摘 要 :隨著我軍信息化建設(shè)步伐的不斷加快，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在部隊(duì)的應(yīng)用口趨廣泛。但從整體情況看，我軍的網(wǎng)絡(luò)信息安全還存在很多問題，網(wǎng)絡(luò)安全工作明滯后于網(wǎng)絡(luò)建設(shè)。針對(duì)現(xiàn)階段軍隊(duì)網(wǎng)絡(luò)安全存在的問題，從網(wǎng)絡(luò)安全技術(shù)及網(wǎng)絡(luò)安全管理兩方面提出了相應(yīng)的解決對(duì)策。

關(guān)鍵詞 :軍隊(duì)信息化建設(shè);計(jì)算機(jī)網(wǎng)絡(luò);信息安全

隨著個(gè)球信息化建設(shè)的高速發(fā)展，網(wǎng)絡(luò)中接入信息基礎(chǔ)設(shè)施的數(shù)量不斷增加，信息系統(tǒng)軟件建設(shè)水平日益提高和完善，計(jì)算機(jī)網(wǎng)絡(luò)信息的安個(gè)問題變得日益突出和重要根據(jù)US-CERT(United States ComputerEmergency Readiness Teat組織的統(tǒng)計(jì)，從1998午到2002午期IRl，該組織登記網(wǎng)絡(luò)安個(gè)事故的數(shù)量午增長(zhǎng)率超過50%。根據(jù)由國(guó)家信息安個(gè)報(bào)告”課題組編《國(guó)家信息安個(gè)報(bào)告》書，如果將信息安個(gè)分為9個(gè)等級(jí)，我國(guó)的安個(gè)等級(jí)為5.5，安個(gè)形勢(shì)分嚴(yán)峻我軍網(wǎng)絡(luò)信息安個(gè)形勢(shì)也同樣小容樂觀,兵的信息安個(gè)意識(shí)淡薄、信息安個(gè)技術(shù)落后、信息安個(gè)管理制度小完善、計(jì)算機(jī)網(wǎng)絡(luò)安個(gè)防護(hù)能力較弱。這此存在于軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的安個(gè)隱患問題如果小能很好解決，小但會(huì)引起軍隊(duì)人量泄密事件和網(wǎng)絡(luò)被攻擊事件的發(fā)生，更會(huì)嚴(yán)重影響到作為高科技作戰(zhàn)輔助手段的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在軍隊(duì)信息化建設(shè)中的推廣和應(yīng)用，甚至?xí)蔀槲臆娢磥硇畔⒒瘧?zhàn)爭(zhēng)中的死穴”，直接影響戰(zhàn)爭(zhēng)的結(jié)果。此分析現(xiàn)階段我軍的網(wǎng)絡(luò)安個(gè)存在的問題，并找出相應(yīng)的對(duì)策，對(duì)當(dāng)前我軍計(jì)算機(jī)網(wǎng)絡(luò)安個(gè)的建設(shè)和發(fā)展及把握未來戰(zhàn)爭(zhēng)形態(tài)具有分重要的意義。1現(xiàn)階段軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全存在的問題 1.1計(jì)算機(jī)網(wǎng)絡(luò)安個(gè)技術(shù)問題

(1)缺乏自主的計(jì)算機(jī)網(wǎng)絡(luò)軟、硬件核心技術(shù)。我國(guó)信息化建設(shè)缺乏自主的核心技術(shù)支撐，計(jì)算機(jī)網(wǎng)絡(luò)的主要軟、硬件，如CPU芯片、操作系統(tǒng)和數(shù)據(jù)庫、網(wǎng)關(guān)軟件人多依賴進(jìn)口。信息設(shè)備的核心部分CPU山美國(guó)和我國(guó)臺(tái)灣制造;我軍計(jì)算機(jī)網(wǎng)絡(luò)中普遍使用的操作系統(tǒng)來自國(guó)外，這此系統(tǒng)都存在人量的安個(gè)漏洞，極易留下嵌入式病毒、隱性通道和可恢復(fù)密鑰的密碼等隱患;計(jì)算機(jī)網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕人多數(shù)是舶來品，在網(wǎng)絡(luò)上運(yùn)行時(shí)，存在著很人的安個(gè)隱患。這素使軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安個(gè)性能人人降低，網(wǎng)絡(luò)處于被竊聽、十?dāng)_、監(jiān)視和欺詐等多種安個(gè)威脅中，網(wǎng)絡(luò)安個(gè)處于極脆弱的狀態(tài)。

(2)長(zhǎng)期存在被病毒感染的風(fēng)險(xiǎn)?，F(xiàn)代病毒可以借助文件、由日件、網(wǎng)貞等諸多力式在網(wǎng)絡(luò)中進(jìn)行傳播和蔓延，它們具有自啟動(dòng)功能，‘?！撊胂到y(tǒng)核心與內(nèi)存，為所欲為。軍用計(jì)算機(jī)日_受感染，它們就會(huì)利用被控制的計(jì)算機(jī)為平臺(tái)，破壞數(shù)據(jù)信息，毀損硬件設(shè)備，阻塞整個(gè)網(wǎng)絡(luò)的正常信息傳輸，甚至造成整個(gè)軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)傳輸中斷和系統(tǒng)癱瘓。

(3)軍事涉密信息在網(wǎng)絡(luò)中傳輸?shù)陌矀€(gè)可靠性低。隱私及軍事涉密信息存儲(chǔ)在網(wǎng)絡(luò)系統(tǒng)內(nèi)，很容易被搜集而造成泄密。這此涉密資料在傳輸過程中，山于要經(jīng)過許多外節(jié)點(diǎn)，且難以查證，在任何中介節(jié)點(diǎn)均可能被讀取或惡意修改，包括數(shù)據(jù)修改、重發(fā)和假冒。網(wǎng)絡(luò)中可能存在某節(jié)點(diǎn)在非授權(quán)和小能監(jiān)測(cè)力式下的數(shù)據(jù)修改，這此修改進(jìn)入網(wǎng)中的幀并傳送修改版本，即使采用某此級(jí)別的認(rèn)證機(jī)制，此種攻擊也能危及可信節(jié)點(diǎn)間的通信。重發(fā)就是重復(fù)份或部分報(bào)文，以便產(chǎn)生個(gè)被授權(quán)效果。當(dāng)節(jié)點(diǎn)拷貝發(fā)到其他節(jié)點(diǎn)的報(bào)文并又重發(fā)他們時(shí)，若小能監(jiān)測(cè)重發(fā)，日的節(jié)點(diǎn)會(huì)執(zhí)行報(bào)文內(nèi)容命令的操作，例如報(bào)文的內(nèi)容是關(guān)閉網(wǎng)絡(luò)的命令，則將會(huì)出現(xiàn)嚴(yán)重的后果。假冒是網(wǎng)絡(luò)中個(gè)實(shí)體假扮成另個(gè)實(shí)體收發(fā)信息，很多網(wǎng)絡(luò)適配器都允許網(wǎng)幀的源地址山節(jié)點(diǎn)自己來選取或改變，這就使冒充變得較為容易。

(4)存在來自網(wǎng)絡(luò)外部、內(nèi)部攻擊的潛在威脅。網(wǎng)絡(luò)中臺(tái)無防備的電腦很容易受到局域網(wǎng)外部的入侵，修改硬盤數(shù)據(jù)，種下木馬等。入侵者會(huì)有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性，或偽裝為合法用戶進(jìn)入網(wǎng)絡(luò)并占用人量資源，修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機(jī)密信息、破壞軟件執(zhí)行，在中間站點(diǎn)攔截和讀取絕密信息等。在網(wǎng)絡(luò)內(nèi)部，則會(huì)有此非法用戶冒用合法用戶的口令以合法身份登錄網(wǎng)站后，查看機(jī)密信息，修改信息內(nèi)容及破壞應(yīng)用系統(tǒng)的運(yùn)行。有非法用戶還會(huì)修改自己的IP和人IAC地址，使其和合法用戶IP和MAC地址樣，繞過網(wǎng)絡(luò)管理員的安個(gè)設(shè)置。1.2信息安個(gè)管理問題

在軍隊(duì)網(wǎng)絡(luò)建設(shè)中，高投入地進(jìn)行網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，而相應(yīng)的管理措施卻沒有跟上，在網(wǎng)絡(luò)安個(gè)上的投資也是微乎其微。有此領(lǐng)導(dǎo)錯(cuò)誤地認(rèn)為，網(wǎng)絡(luò)安個(gè)投資只有投入?yún)s小見直觀效果，對(duì)軍隊(duì)教育訓(xùn)練影響小大。因此，對(duì)安個(gè)領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)小能滿足安個(gè)防范的要求。而旦安個(gè)上出了問題，又沒有行之有效的措施補(bǔ)救，有的甚至是采取關(guān)閉網(wǎng)絡(luò)、禁比使用的消極手段，根本問題依然得小到實(shí)質(zhì)性的解決。

國(guó)家和軍隊(duì)出臺(tái)了系列信息網(wǎng)絡(luò)安個(gè)保密的法規(guī)，女匡中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安個(gè)保護(hù)條例計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定)X(中國(guó)人民解放軍計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》等，這此法規(guī)的出臺(tái)從定程度上規(guī)范了軍事信息網(wǎng)絡(luò)安個(gè)的管理，但還小能滿足軍事信息網(wǎng)絡(luò)安個(gè)管理的發(fā)展需求。網(wǎng)絡(luò)運(yùn)行管理機(jī)制存在缺陷，軍隊(duì)網(wǎng)絡(luò)安個(gè)管理人才匾乏，安個(gè)措施小到位，出現(xiàn)安個(gè)問題后缺乏綜合性的解決力案，整個(gè)信息安個(gè)系統(tǒng)在迅速反應(yīng)、快速行動(dòng)和預(yù)防范等主要力而，缺少力向感、敏感度和應(yīng)對(duì)能力。在整個(gè)網(wǎng)絡(luò)運(yùn)行過程中，缺乏行之有效的安個(gè)檢查和應(yīng)對(duì)保護(hù)制度。

網(wǎng)絡(luò)管理和使用人員素質(zhì)小高、安個(gè)意識(shí)淡薄。據(jù)調(diào)查，目前國(guó)內(nèi)90%的網(wǎng)站存在安個(gè)問題，其主要原因是管理者缺少或沒有安個(gè)意識(shí)。軍事計(jì)算機(jī)網(wǎng)絡(luò)用戶飛速增長(zhǎng)，然而大多數(shù)人員網(wǎng)絡(luò)知識(shí)掌握很少，安個(gè)意識(shí)小強(qiáng)，經(jīng)常是在沒有任何防范措施的前提下，隨便把電腦接入網(wǎng)絡(luò);在小知情的情況下將帶有保密信息的計(jì)算機(jī)連入因特網(wǎng)，或使用因特網(wǎng)傳遞保密信息;對(duì)數(shù)據(jù)小能進(jìn)行及時(shí)備份，經(jīng)常造成數(shù)據(jù)的破壞或丟失;對(duì)系統(tǒng)小采取有效的防病毒、防攻擊措施，殺毒軟件小能及時(shí)升級(jí)。2加強(qiáng)軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的對(duì)策

解決軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的安個(gè)問題，關(guān)鍵在于建立和完善軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安個(gè)防護(hù)體系?？傮w對(duì)策是在技術(shù)層而上建立完整的網(wǎng)絡(luò)安個(gè)解決力案，在管理層而上制定和落實(shí)套嚴(yán)格的網(wǎng)絡(luò)安個(gè)管理制度。

2.1網(wǎng)絡(luò)安個(gè)技術(shù)對(duì)策

(1)采用安個(gè)性較高的系統(tǒng)和使用數(shù)據(jù)加密技術(shù)。美國(guó)國(guó)防部技術(shù)標(biāo)準(zhǔn)把操作系統(tǒng)安個(gè)等級(jí)分為Dl, Cl, C2, B1, B2, B3, A級(jí)，安個(gè)等級(jí)由低到高。目前主要的操作系統(tǒng)等級(jí)為C2級(jí)，在使用C2級(jí)系統(tǒng)時(shí)，應(yīng)盡量使用C2級(jí)的安個(gè)措施及功能，對(duì)操作系統(tǒng)進(jìn)行安個(gè)配置。在極端重要的系統(tǒng)中，應(yīng)采用B級(jí)操作系統(tǒng)。對(duì)軍事涉密信息在網(wǎng)絡(luò)中的存儲(chǔ)和傳輸可以使用傳統(tǒng)的信息加密技術(shù)和新興的信息隱藏技術(shù)來提供安個(gè)保證。在傳發(fā)保存軍事涉密信息的過程中，小但要用加密技術(shù)隱藏信息內(nèi)容，還要用信息隱藏技術(shù)來隱藏信息的發(fā)送者、接收者甚至信息本身。通過隱藏術(shù)、數(shù)字水印、數(shù)據(jù)隱藏和數(shù)據(jù)嵌入、指紋和標(biāo)竿等技術(shù)手段可以將秘密資料先隱藏到般的文件中，然后再通過網(wǎng)絡(luò)來傳遞，提高信息保密的可靠性。

(2)安裝防病毒軟件和防火墻。在主機(jī)上安裝防病毒軟件，能對(duì)病毒進(jìn)行定時(shí)或?qū)崟r(shí)的病毒掃描及漏洞檢測(cè)，變被動(dòng)清毒為主動(dòng)截殺，既能查殺未知病毒，又可對(duì)文件、郵件、內(nèi)存、網(wǎng)頁進(jìn)行個(gè)而實(shí)時(shí)監(jiān)控，發(fā)現(xiàn)異常情況及時(shí)處理。防火墻是硬件和軟件的組合，它在內(nèi)部網(wǎng)和外部網(wǎng)間建立起個(gè)安個(gè)網(wǎng)關(guān)，過濾數(shù)據(jù)包，決定是否轉(zhuǎn)發(fā)到目的地。它能夠控制網(wǎng)絡(luò)進(jìn)出的信息流向，提供網(wǎng)絡(luò)使用狀況和流量的審計(jì)、隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)l勻。它還可以幫助軍隊(duì)系統(tǒng)進(jìn)行有效的網(wǎng)絡(luò)安個(gè)隔離，通過安個(gè)過濾規(guī)則嚴(yán)格控制外網(wǎng)用戶非法訪問，并只打開必須的服務(wù)，防范外部來的拓絕服務(wù)攻擊。同時(shí)，防火墻可以進(jìn)行時(shí)間安個(gè)規(guī)則變化策略，控制內(nèi)網(wǎng)用戶訪問外網(wǎng)時(shí)間，并通過設(shè)置IP地址與MAC地址綁定，防比目的IP地址欺騙。更重要的是，防火墻小但將大量的惡意攻擊直接阻擋在外而，同時(shí)也屏蔽來自網(wǎng)絡(luò)內(nèi)部的小良行為，讓其小能把某此保密的信息散播到外部的公共網(wǎng)絡(luò)上去。

(3)使用安個(gè)路由器和虛擬專用網(wǎng)技術(shù)。安個(gè)路由器采用了密碼算法和加/解密專用芯片，通過在路由器主板上增加安個(gè)加密模件來實(shí)現(xiàn)路由器信息和IP包的加密、身份鑒別和數(shù)據(jù)完整性驗(yàn)證、分布式密鑰管理等功能。使用安個(gè)路由器可以實(shí)現(xiàn)軍隊(duì)各單位內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的互聯(lián)、隔離、流量控制、網(wǎng)絡(luò)和信息安個(gè)維護(hù)，也可以阻塞廣播信息和小知名地址的傳輸，達(dá)到保護(hù)內(nèi)部信息化與網(wǎng)絡(luò)建設(shè)安個(gè)的目的。目前我國(guó)自主獨(dú)立開發(fā)的安個(gè)路由器，能為軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)提供安個(gè)可靠的保障。建設(shè)軍隊(duì)虛擬專用網(wǎng)是在軍隊(duì)廣域網(wǎng)中將若十個(gè)區(qū)域網(wǎng)絡(luò)實(shí)體利用隧道技術(shù)連接成個(gè)虛擬的獨(dú)立網(wǎng)絡(luò)，網(wǎng)絡(luò)中的數(shù)據(jù)利用加/解密算法進(jìn)行加密封裝后，通過虛擬的公網(wǎng)隧道在各網(wǎng)絡(luò)實(shí)體間傳輸，從而防}卜未授權(quán)用戶竊取、篡改信息。

(4)安裝入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)誘騙系統(tǒng)。入侵檢測(cè)能力是衡量個(gè)防御體系是否完整有效的重要因素。入侵檢測(cè)的軟件和硬件共同組成了入侵檢測(cè)系統(tǒng)。強(qiáng)大的、完整的入侵檢測(cè)系統(tǒng)可以彌補(bǔ)軍隊(duì)網(wǎng)絡(luò)防火墻相對(duì)靜態(tài)防御的小足，可以對(duì)內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)時(shí)防護(hù)，當(dāng)軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到危害之前進(jìn)行報(bào)攔截和響應(yīng)，為系統(tǒng)及時(shí)消除威脅。網(wǎng)絡(luò)誘騙系統(tǒng)是通過構(gòu)建個(gè)欺騙環(huán)境真實(shí)的網(wǎng)絡(luò)、主機(jī)，或用軟件模擬的網(wǎng)絡(luò)和主機(jī))，誘騙入侵者對(duì)其進(jìn)行攻擊或在檢測(cè)出對(duì)實(shí)際系統(tǒng)的攻擊行為后，將攻擊重定向到該嚴(yán)格控制的環(huán)境中，從而保護(hù)實(shí)際運(yùn)行的系統(tǒng);同時(shí)收集入侵信息，借以觀察入侵者的行為，記錄其活動(dòng)，以便分析入侵者的水平、目的、所用上具、入侵手段等，并對(duì)入侵者的破壞行為提供證據(jù)。

2.2網(wǎng)絡(luò)安個(gè)管理對(duì)策

(1)強(qiáng)化思想教育、加強(qiáng)制度落實(shí)是網(wǎng)絡(luò)安個(gè)管理上作的基礎(chǔ)。搞好軍隊(duì)網(wǎng)絡(luò)安個(gè)管理上作，首要的是做好人的上作。個(gè)軍官兵要認(rèn)真學(xué)習(xí)軍委、總部先后下發(fā)的有關(guān)法規(guī)文件和安個(gè)教材，更新軍事通信安個(gè)保密觀念，增強(qiáng)網(wǎng)絡(luò)安個(gè)保密意識(shí)，增長(zhǎng)網(wǎng)絡(luò)安個(gè)保密知識(shí)，提高網(wǎng)絡(luò)保密素質(zhì)，改善網(wǎng)絡(luò)安個(gè)保密環(huán)境。還可以通過舉辦信息安個(gè)技術(shù)培訓(xùn)、組織專家到基層部隊(duì)宣講網(wǎng)絡(luò)信息安個(gè)保密知識(shí)、舉辦網(wǎng)上信息戰(zhàn)知識(shí)竟賽”等系列活動(dòng)，使廣大官兵牢固樹立信息安個(gè)領(lǐng)域沒有和平期”的觀念，在4個(gè)人的大腦中筑起軍隊(duì)網(wǎng)絡(luò)信息安個(gè)的防火墻”

(2)制定嚴(yán)格的信息安個(gè)管理制度。設(shè)立專門的信息安個(gè)管理機(jī)構(gòu)，人員應(yīng)包括領(lǐng)導(dǎo)和專業(yè)人員。按照小同任務(wù)進(jìn)行分上以確立各自的職責(zé)。類人員負(fù)責(zé)確定安個(gè)措施，包括力針、政策、策略的制定，并協(xié)調(diào)、監(jiān)督、檢查安個(gè)措施的實(shí)施;另類人員負(fù)責(zé)分上具體管理系統(tǒng)的安個(gè)上作，包括信息安個(gè)管理員、信息保密員和系統(tǒng)管理員等。在分上的基礎(chǔ)上，應(yīng)有具體的負(fù)責(zé)人負(fù)責(zé)整個(gè)網(wǎng)絡(luò)系統(tǒng)的安個(gè)。確立安個(gè)管理的原則: 是多人負(fù)責(zé)原則，即在從事4項(xiàng)安個(gè)相關(guān)的活動(dòng)時(shí)，必須有兩人以上在場(chǎng);一是任期有限原則，即任何人小得長(zhǎng)期擔(dān)任與安個(gè)相關(guān)的職務(wù)，應(yīng)小定期地循環(huán)任職;三是職責(zé)分離原則，如計(jì)算機(jī)的編程與操作、機(jī)密資料的傳送和接收、操作與存儲(chǔ)介質(zhì)保密、系統(tǒng)管理與安個(gè)管理等上作職責(zé)應(yīng)當(dāng)由小同人員負(fù)責(zé)。另外，各單位還可以根據(jù)自身的特點(diǎn)制定系列的規(guī)章制度。如要求用戶必須定期升級(jí)殺毒軟件、定期備份重要資料，規(guī)定軍用計(jì)算機(jī)小得隨意安裝來路小明的軟件、小得打開陌生郵件，對(duì)違反規(guī)定的進(jìn)行處理等等。

(3)重視網(wǎng)絡(luò)信息安個(gè)人才的培養(yǎng)。加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)指揮人員的培訓(xùn)，使網(wǎng)絡(luò)指揮人員熟練通過計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施正確的指揮和對(duì)信息進(jìn)行有效的安個(gè)管理，保證部隊(duì)的網(wǎng)絡(luò)信息安個(gè)。加強(qiáng)操作人員和管理人員的安個(gè)培訓(xùn)，主要是在平時(shí)訓(xùn)練過程中提高能力，通過小間斷的培訓(xùn)，提高保密觀念和責(zé)任心，加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn)，提高操作技能;對(duì)內(nèi)部涉密人員更要加強(qiáng)人事管理，定期組織思想教育和安個(gè)業(yè)務(wù)培訓(xùn)，小斷提高人員的思想素質(zhì)、技術(shù)素質(zhì)和職業(yè)道德。積極鼓勵(lì)廣大官兵研究軍隊(duì)計(jì)算機(jī)網(wǎng)絡(luò)攻防戰(zhàn)的特點(diǎn)規(guī)律，尋找進(jìn)入和破壞敵力網(wǎng)絡(luò)系統(tǒng)的力法，探索竭力阻比敵力網(wǎng)絡(luò)入侵，保護(hù)己力網(wǎng)絡(luò)系統(tǒng)安個(gè)的手段。只有擁有支訓(xùn)練有素、善于信息安個(gè)管理的隊(duì)伍，才能保證軍隊(duì)在未來的信息化戰(zhàn)爭(zhēng)中占據(jù)主動(dòng)權(quán)

第二篇：淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全問題與對(duì)策論文

淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)問題與對(duì)策

摘 要：

隨著計(jì)算機(jī)信息技術(shù)的迅猛發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)越發(fā)成為農(nóng)業(yè)、工業(yè)、第三產(chǎn)業(yè)和國(guó)防工業(yè)的重要信息交換媒介，并且滲透到社會(huì)生活的各個(gè)角落。因此，認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅的嚴(yán)重性，采取強(qiáng)有力安全策略勢(shì)在必行。計(jì)算機(jī)網(wǎng)絡(luò)安全工作是一項(xiàng)長(zhǎng)期而艱巨的任務(wù)，它應(yīng)該貫徹于整個(gè)信息網(wǎng)絡(luò)的籌劃、組成、測(cè)試的全過程。本文結(jié)合實(shí)際情況，分析網(wǎng)絡(luò)安全問題并提出相應(yīng)對(duì)策。

Take to:

With the rapid development of computer information technology, computer network has become agriculture, industry, the tertiary industry and defense industry important information medium of exchange, and penetrated into every corner of social life.Therefore, clear understanding of network vulnerabilities and potential threats, to take strong security strategy be imperative.Computer network security work is a long-term and arduous task, it should be applied in the information network planning, composition, testing the entire process.In this paper, combined with the actual situation, the analysis of network security problems and corresponding countermeasures.關(guān)鍵詞：計(jì)算機(jī)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)威脅；

一、前言

隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展，在計(jì)算機(jī)上完成的工作已由基于單機(jī)的文件處理、自動(dòng)化辦公，發(fā)展到今天的企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)和國(guó)際互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務(wù)處理，也就是我們常說的局域網(wǎng)、城域網(wǎng)和廣域網(wǎng)。計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用領(lǐng)域已從傳統(tǒng)的小型業(yè)務(wù)系統(tǒng)逐漸向大型業(yè)務(wù)系統(tǒng)擴(kuò)展。計(jì)算機(jī)網(wǎng)絡(luò)在為人們提供便利、帶來效益的同時(shí)，也使人類面臨著信息安全的巨大挑戰(zhàn)。

組織和單位的計(jì)算機(jī)網(wǎng)絡(luò)是黑客攻擊的主要目標(biāo)。如果黑客組織能攻破組織及單位的計(jì)算機(jī)網(wǎng)絡(luò)防御系統(tǒng)，他就有訪問成千上萬計(jì)算機(jī)的可能性。據(jù)統(tǒng)計(jì)，近年來因網(wǎng)絡(luò)安全事故造成的損失每年高達(dá)上千億美元。計(jì)算機(jī)系統(tǒng)的脆弱性已為各國(guó)政府與機(jī)構(gòu)所認(rèn)識(shí)。

二、計(jì)算機(jī)通信網(wǎng)絡(luò)安全概述

所謂計(jì)算機(jī)通信網(wǎng)絡(luò)安全，是指根據(jù)計(jì)算機(jī)通信網(wǎng)絡(luò)特性，通過相應(yīng)的安全技術(shù)和措施，對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)的硬件、操作系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)等加以保護(hù)，防止遭到破壞或竊取，其實(shí)質(zhì)就是要保護(hù)計(jì)算機(jī)通訊系統(tǒng)和通信網(wǎng)絡(luò)中的各種信息資源免受各種類型的威脅、干擾和破壞。計(jì)算機(jī)通信網(wǎng)絡(luò)的安全是指揮、控制信息安全的重要保證。

根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的權(quán)威統(tǒng)計(jì)，通過分布式密網(wǎng)捕獲的新的漏洞攻擊惡意代碼數(shù)量平均每天112次，每天捕獲最多的次數(shù)高達(dá)4369 次。因此，隨著網(wǎng)絡(luò)一體化和互聯(lián)互通，我們必須加強(qiáng)計(jì)算機(jī)通信網(wǎng)絡(luò)安全防范意思，提高防范手段。

三、影響計(jì)算機(jī)通信網(wǎng)絡(luò)安全的因素分析

計(jì)算機(jī)通信網(wǎng)絡(luò)的安全涉及到多種學(xué)科，包括計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等十?dāng)?shù)種，這些技術(shù)各司其職，保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)免遭各種因素的破壞、更改、泄露，保證系統(tǒng)連續(xù)可靠正常運(yùn)行。

3.1影響計(jì)算機(jī)通信網(wǎng)絡(luò)安全的客觀因素。

3.1.1網(wǎng)絡(luò)資源的共享性。計(jì)算機(jī)網(wǎng)絡(luò)最主要的一個(gè)功能就是“資源共享”。無論你是在天涯海角，還是遠(yuǎn)在天邊，只要有網(wǎng)絡(luò)，就能找到你所需要的信息。所以，資源共享的確為我們提供了很大的便利，但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞也提供了機(jī)會(huì)。

3.1.2網(wǎng)絡(luò)操作系統(tǒng)的漏洞。操作系統(tǒng)漏洞是指計(jì)算機(jī)操作系統(tǒng)本身所存在的問題或技術(shù)缺陷。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種的缺陷和漏洞。

3.1.3網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷。網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來安全隱患。

3.1.4網(wǎng)絡(luò)的開放性。網(wǎng)上的任何一個(gè)用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個(gè)企業(yè)、單位以及個(gè)人的信息。

3.1.5惡意攻擊。惡意攻擊就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒．是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類攻擊也越來越多，影響越來越大。無論是DOS 攻擊還是DDOS 攻擊，簡(jiǎn)單的看，都只是一種破壞網(wǎng)絡(luò)服務(wù)的黑客方式，雖然具體的實(shí)現(xiàn)方式千變?nèi)f化，但都有一個(gè)共同點(diǎn)，就是其根本目的是使受害主機(jī)或網(wǎng)絡(luò)無法及時(shí)接收并處理外界請(qǐng)求，或無法及時(shí)回應(yīng)外界請(qǐng)求。具體表現(xiàn)方式有以下幾種：（1）制造大流量無用數(shù)據(jù)，造成通往被攻擊主機(jī)的網(wǎng)絡(luò)擁塞，使被攻擊主機(jī)無法正常和外界通信。

（2）利用被攻擊主機(jī)提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷，反復(fù)高頻的發(fā)出攻擊性的重復(fù)服務(wù)請(qǐng)求，使被攻擊主機(jī)無法及時(shí)處理其它正常的請(qǐng)求。（3）利用被攻擊主機(jī)所提供服務(wù)程序或傳輸協(xié)議的本身實(shí)現(xiàn)缺陷，反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯(cuò)誤而分配大量系統(tǒng)資源，使主機(jī)處于掛起狀態(tài)甚至死機(jī)。

DOS 攻擊幾乎是從互聯(lián)網(wǎng)絡(luò)的誕生以來，就伴隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展而一直存在也不斷發(fā)展和升級(jí)。值得一提的是，要找DOS 的工具一點(diǎn)不難，黑客網(wǎng)絡(luò)社區(qū)都有共享黑客軟件的傳統(tǒng)，并會(huì)在一起交流攻擊的心得經(jīng)驗(yàn)，你可以很輕松的從Internet 上獲得這些工具。所以任何一個(gè)上網(wǎng)者都可能構(gòu)成網(wǎng)絡(luò)安全的潛在威脅。DOS 攻擊給飛速發(fā)展的互聯(lián)網(wǎng)絡(luò)安全帶來重大的威脅。然而從某種程度上可以說，D0S 攻擊永遠(yuǎn)不會(huì)消失而且從技術(shù)上目前沒有根本的解決辦法。

3.2影響計(jì)算機(jī)網(wǎng)絡(luò)通信安全的主觀因素。主要是計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)管理人員缺乏安全觀念和必備技術(shù)，如安全意識(shí)、防范意思等。

四、計(jì)算機(jī)網(wǎng)絡(luò)的安全策略

4.1物理安全策略。物理安全策略目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。物理安全策略還包括加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對(duì)于確保網(wǎng)絡(luò)的安全、可靠地運(yùn)行，將起到十分有效的作用。網(wǎng)絡(luò)安全管理策略包括：確定安全管理等級(jí)和安全管理范圍；制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。

4.2常用的網(wǎng)絡(luò)安全技術(shù)。

由于網(wǎng)絡(luò)所帶來的諸多不安全因素，使得網(wǎng)絡(luò)使用者必須采取相應(yīng)的網(wǎng)絡(luò)安全技術(shù)來堵塞安全漏洞和提供安全的通信服務(wù)。如今，快速發(fā)展的網(wǎng)絡(luò)安全技術(shù)能從不同角度來保證網(wǎng)絡(luò)信息不受侵犯，網(wǎng)絡(luò)安全的基本技術(shù)主要包括網(wǎng)絡(luò)加密技術(shù)、防火墻技術(shù)、操作系統(tǒng)安全內(nèi)核技術(shù)、身份驗(yàn)證技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)。

4.2.1 網(wǎng)絡(luò)加密技術(shù)。網(wǎng)絡(luò)加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個(gè)加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對(duì)付惡意軟件的有效方法之一。網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密，端點(diǎn)加密和節(jié)點(diǎn)加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端點(diǎn)加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供加密保護(hù)；節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供加密保護(hù)。用戶可根據(jù)網(wǎng)絡(luò)情況選擇上述三種加密方式。信息加密過程是由形形色色的加密算法來具體實(shí)施的，它以很小的代價(jià)提供很牢靠的安全保護(hù)。在多數(shù)情況下，信息加密是保證信息機(jī)密性的唯一方法。據(jù)不完全統(tǒng)計(jì)，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達(dá)數(shù)百種。

如果按照收發(fā)雙方的密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。在實(shí)際應(yīng)用中，人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如：利用DES 或者IDEA 來加密信息，而采用RSA 來傳遞會(huì)話密鑰。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼算法和分組密碼算法，前者每次只加密一個(gè)比特。

4.2.2 防火墻技術(shù)。防火墻技術(shù)是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外界之間的一道屏障，是通過計(jì)算機(jī)硬件和軟件的組合來建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵，它可以通過鑒別、限制，更改跨越防火墻的數(shù)據(jù)流，來實(shí)何保證通信網(wǎng)絡(luò)的安全對(duì)今后計(jì)算機(jī)通信網(wǎng)絡(luò)的發(fā)展尤為重要。現(xiàn)對(duì)網(wǎng)絡(luò)的安全保護(hù)。防火墻的組成可以表示為：防火墻= 過濾器+ 安全策略+ 網(wǎng)關(guān)，它是一種非常有效的網(wǎng)絡(luò)安全技術(shù)。在Internet 上，通過它來隔離風(fēng)險(xiǎn)區(qū)域與安全區(qū)域的連接，但不防礙人們對(duì)風(fēng)險(xiǎn)區(qū)域的訪問。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信數(shù)據(jù)，從而完成僅讓安全、核準(zhǔn)的信息進(jìn)入，同時(shí)又抵制對(duì)企業(yè)構(gòu)成威脅的數(shù)據(jù)進(jìn)入的任務(wù)。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和狀態(tài)監(jiān)測(cè)型。

包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)，工作在網(wǎng)絡(luò)層。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。但包過濾防火墻的缺點(diǎn)有三：一是非法訪問一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及IP 的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒；三是無法執(zhí)行某些安全策略。

網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT?！澳悴荒芄裟憧床灰姷臇|西”是網(wǎng)絡(luò)地址轉(zhuǎn)換的理論基礎(chǔ)。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP 地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP 地址標(biāo)準(zhǔn)。它允許具有私有IP 地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。當(dāng)數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)時(shí)，NAT 將從發(fā)送端的數(shù)據(jù)包中移去專用的IP 地址，并用一個(gè)偽IP 地址代替。NAT 軟件保留專用IP 地址和偽IP 地址的一張地址映射表。當(dāng)一個(gè)數(shù)據(jù)包返回到NAT 系統(tǒng)，這一過程將被逆轉(zhuǎn)。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。如果黑客在網(wǎng)上捕獲到這個(gè)數(shù)據(jù)包，他們也不能確定發(fā)送端的真實(shí)IP 地址，從而無法攻擊內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)。NAT 技術(shù)也存在一些缺點(diǎn)，例如：木馬程序可以通過NAT 進(jìn)行外部連接，穿透防火墻。

代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品, 它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù), 然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部結(jié)構(gòu)的作用，這種防火墻是網(wǎng)絡(luò)專家公的最安全的防火墻。缺點(diǎn)是速度相對(duì)較慢。

監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。它是由Check Point 軟件技術(shù)有限公司率先提出的，也稱為動(dòng)態(tài)包過濾防火墻?？偟膩碚f，具有：高安全性，高效性，可伸縮性和易擴(kuò)展性。實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)代理服務(wù)器也集成了包過濾技術(shù),這兩種技術(shù)的混合顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)?？偟膩碚f，網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性和靈活性為代價(jià)的，防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)體系的一部分，而且防火墻并非萬無一失。除了使用了防火墻后技術(shù)，我們還使用了其他技術(shù)來加強(qiáng)安全保護(hù)，數(shù)據(jù)加密技術(shù)是保障信息安全的基石。所謂數(shù)據(jù)加密技術(shù)就是使用數(shù)字方法來重新組織數(shù)據(jù)，使得除了合法受者外，任何其他人想要恢復(fù)原先的“消息”是非常困難的。目前最常用的加密技術(shù)有對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。對(duì)稱加密技術(shù)是指同時(shí)運(yùn)用一個(gè)密鑰進(jìn)行加密和解密，非對(duì)稱加密技術(shù)就是加密和解密所用的密鑰不一樣。

4.2.3 操作系統(tǒng)安全內(nèi)核技術(shù)。操作系統(tǒng)安全內(nèi)核技術(shù)除了在傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)上著手，人們開始在操作系統(tǒng)的層次上考慮網(wǎng)絡(luò)安全性，嘗試把系統(tǒng)內(nèi)核中可能引起安全性問題的部分從內(nèi)核中剔除出去，從而使系統(tǒng)更安全。操作系統(tǒng)平臺(tái)的安全措施包括：采用安全性較高的操作系統(tǒng)；對(duì)操作系統(tǒng)的安全配置；利用安全掃描系統(tǒng)檢查操作系統(tǒng)的漏洞等。美國(guó)國(guó)防部技術(shù)標(biāo)準(zhǔn)把操作系統(tǒng)的安全等級(jí)分成了D1、C1、C2、B1、B2、B3、A 級(jí)，其安全等級(jí)由低到高。目前主要的操作系統(tǒng)的安全等級(jí)都是C2 級(jí),其特征包括：①用戶必須通過用戶注冊(cè)名和口令讓系統(tǒng)識(shí)別；②系統(tǒng)可以根據(jù)用戶注冊(cè)名決定用戶訪問資源的權(quán)限；③系統(tǒng)可以對(duì)系統(tǒng)中發(fā)生的每一件事進(jìn)行審核和記錄；④可以創(chuàng)建其他具有系統(tǒng)管理權(quán)限的用戶。

4.2.5 身份驗(yàn)證技術(shù)身份驗(yàn)證技術(shù)。身份驗(yàn)證技術(shù)身份驗(yàn)證技術(shù)是用戶向系統(tǒng)出示自己身份證明的過程。身份認(rèn)證是系統(tǒng)查核用戶身份證明的過程。這兩個(gè)過程是判明和確認(rèn)通信雙方真實(shí)身份的兩個(gè)重要環(huán)節(jié)，人們常把這兩項(xiàng)工作統(tǒng)稱為身份驗(yàn)證。它的安全機(jī)制在于首先對(duì)發(fā)出請(qǐng)求的用戶進(jìn)行身份驗(yàn)證，確認(rèn)其是否為合法的用戶，如是合法用戶，再審核該用戶是否有權(quán)對(duì)他所請(qǐng)求的服務(wù)或主機(jī)進(jìn)行訪問。從加密算法上來講，其身份驗(yàn)證是建立在對(duì)稱加密的基礎(chǔ)上的。

為了使網(wǎng)絡(luò)具有是否允許用戶存取數(shù)據(jù)的判別能力，避免出現(xiàn)非法傳送、復(fù)制或篡改數(shù)據(jù)等不安全現(xiàn)象，網(wǎng)絡(luò)需要采用的識(shí)別技術(shù)。常用的識(shí)別方法有口令、唯一標(biāo)識(shí)符、標(biāo)記識(shí)別等?？诹钍亲畛Ｓ玫淖R(shí)別用戶的方法，通常是由計(jì)算機(jī)系統(tǒng)隨機(jī)產(chǎn)生，不易猜測(cè)、保密性強(qiáng)，必要時(shí)，還可以隨時(shí)更改，實(shí)行固定或不固定使用有效期制度，進(jìn)一步提高網(wǎng)絡(luò)使用的安全性；唯一標(biāo)識(shí)符一般用于高度安全的網(wǎng)絡(luò)系統(tǒng)，采用對(duì)存取控制和網(wǎng)絡(luò)管理實(shí)行精確而唯一的標(biāo)識(shí)用戶的方法，每個(gè)用戶的唯一標(biāo)識(shí)符是由網(wǎng)絡(luò)系統(tǒng)在用戶建立時(shí)生成的一個(gè)數(shù)字，且該數(shù)字在系統(tǒng)周期內(nèi)不會(huì)被別的用戶再度使用；標(biāo)記識(shí)別是一種包括一個(gè)隨機(jī)精確碼卡片（如磁卡等）的識(shí)別方式，一個(gè)標(biāo)記是一個(gè)口令的物理

實(shí)現(xiàn)，用它來代替系統(tǒng)打入一個(gè)口令。一個(gè)用戶必須具有一個(gè)卡片，但為了提高安全性，可以用于多個(gè)口令的使用。

4.2.6 網(wǎng)絡(luò)防病毒技術(shù)。在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒具有不可估量的威脅性和破壞力。CIH 病毒及愛蟲病毒就足以證明如果不重視計(jì)算機(jī)網(wǎng)絡(luò)防病毒，那可能給社會(huì)造成災(zāi)難性的后果，因此計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全技術(shù)中重要的一環(huán)。網(wǎng)絡(luò)防病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測(cè)，工作站上采用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。防病毒必須從網(wǎng)絡(luò)整體考慮，從方便管理人員的能，在夜間對(duì)全網(wǎng)的客戶機(jī)進(jìn)行掃描，檢查病毒情況；利用在線報(bào)警功能，網(wǎng)絡(luò)上每一臺(tái)機(jī)器出現(xiàn)故障、病毒侵入時(shí)，網(wǎng)絡(luò)管理人員都能及時(shí)知道，從而從管理中心處予以解決。

訪問控制也是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段，可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。它主要包括：身份驗(yàn)證、存取控制、入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級(jí)安全控制、屬性安全控制等。計(jì)算機(jī)信息訪問控制技術(shù)最早產(chǎn)生于上世紀(jì)60年代，隨后出現(xiàn)了兩種重要的訪問控制技術(shù)，自主訪問控制和強(qiáng)制訪問控制。隨著網(wǎng)絡(luò)的發(fā)展，為了滿足新的安全需求，今年來出現(xiàn)了以基于角色的訪問控制技術(shù),基于任務(wù)的訪問控制。

五、結(jié)束語

隨著信息技術(shù)的飛速發(fā)展，影響通信網(wǎng)絡(luò)安全的各種因素也會(huì)不斷強(qiáng)化，因此計(jì)算機(jī)網(wǎng)絡(luò)的安全問題也越來越受到人們的重視，以上我們簡(jiǎn)要的分析了計(jì)算機(jī)網(wǎng)絡(luò)存在的幾種安全隱患，并探討了計(jì)算機(jī)網(wǎng)絡(luò)的幾種安全防范措施。

總的來說，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時(shí)也是一個(gè)安全管理問題。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

參考文獻(xiàn)：

【1】 陶陽.計(jì)算機(jī)與網(wǎng)絡(luò)安全 重慶：重慶大學(xué)出版社，2005.【2】 田園.網(wǎng)絡(luò)安全教程 北京：人民郵電出版社，2009.【3】 馮登國(guó).《計(jì)算機(jī)通信網(wǎng)絡(luò)安全》，清華大學(xué)出版社，2001

【4】 陳斌.《計(jì)算機(jī)網(wǎng)絡(luò)安全與防御》，信息技術(shù)與網(wǎng)絡(luò)服務(wù)，2006（4）：35-37.【5】 William Stallings.網(wǎng)絡(luò)安全基礎(chǔ)教程：應(yīng)用與標(biāo)準(zhǔn)（英文影印版），清華大學(xué)出版社，2006（7）

【6】 趙樹升等.《信息安全原理與實(shí)現(xiàn)》，清華大學(xué)出版社，2004（9）

第三篇：淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全問題

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)的安全性和可靠性已成為不同使用層次的用戶共同關(guān)心的問題。人們都希望自己的網(wǎng)絡(luò)系統(tǒng)能夠更加可靠地運(yùn)行，不受外來入侵者干擾和破壞。所以解決好網(wǎng)絡(luò)的安全性和可靠性問題，是保證網(wǎng)絡(luò)正常運(yùn)行的前提和保障。

2網(wǎng)絡(luò)安全的重要性

在信息化飛速發(fā)展的今天，計(jì)算機(jī)網(wǎng)絡(luò)得到了廣泛應(yīng)用，但隨著網(wǎng)絡(luò)之間的信息傳輸量的急劇增長(zhǎng)，一些機(jī)構(gòu)和部門在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時(shí)，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的攻擊和破壞。攻擊者可以竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點(diǎn)，釋放計(jì)算機(jī)病毒等等。這致使數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。根據(jù)美國(guó)FBI（美國(guó)聯(lián)邦調(diào)查局）的調(diào)查，美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過170億美元。75%的公司報(bào)告財(cái)政損失是由于計(jì)算機(jī)系統(tǒng)的安全問題造成的。超過50%的安全威脅來自內(nèi)部。而僅有59%的損失可以定量估算。在中國(guó)，針對(duì)銀行、證券等金融領(lǐng)域的計(jì)算機(jī)系統(tǒng)的安全問題所造成的經(jīng)濟(jì)損失金額已高達(dá)數(shù)億元，針對(duì)其他行業(yè)的網(wǎng)絡(luò)安全威脅也時(shí)有發(fā)生。

由此可見，無論是有意的攻擊，還是無意的誤操作，都將會(huì)給系統(tǒng)帶來不可估量的損失。所以，計(jì)算機(jī)網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

3網(wǎng)絡(luò)安全的理論基礎(chǔ)

國(guó)際標(biāo)準(zhǔn)化組織（ISO）曾建議計(jì)算機(jī)安全的定義為：“計(jì)算機(jī)系統(tǒng)要保護(hù)其硬件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞。”為了幫助計(jì)算機(jī)用戶區(qū)分和解決計(jì)算機(jī)網(wǎng)絡(luò)安全問題，美國(guó)國(guó)防部公布了“桔皮書”（orange book，正式名稱為“可信計(jì)算機(jī)系統(tǒng)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則”），對(duì)多用戶計(jì)算機(jī)系統(tǒng)安全級(jí)別的劃分進(jìn)行了規(guī)定。

桔皮書將計(jì)算機(jī)安全由低到高分為四類七級(jí)：D1、C1、C2、B1、B2、B3、A1。其中D1級(jí)是不具備最低安全限度的等級(jí)，C1和C2級(jí)是具備最低安全限度的等級(jí)，B1和B2級(jí)是具有中等安全保護(hù)能力的等級(jí)，B3和A1屬于最高安全等級(jí)。

D1級(jí)：計(jì)算機(jī)安全的最低一級(jí)，不要求用戶進(jìn)行用戶登錄和密碼保護(hù)，任何人都可以使用，整個(gè)系統(tǒng)是不可信任的，硬件軟件都易被侵襲。

C1級(jí)：自主安全保護(hù)級(jí)，要求硬件有一定的安全級(jí)（如計(jì)算機(jī)帶鎖），用戶必須通過登錄認(rèn)證方可使用系統(tǒng)，并建立了訪問許可權(quán)限機(jī)制。

C2級(jí)：受控存取保護(hù)級(jí)，比C1級(jí)增加了幾個(gè)特性：引進(jìn)了受控訪問環(huán)境，進(jìn)一步限制了用戶執(zhí)行某些系統(tǒng)指令；授權(quán)分級(jí)使系統(tǒng)管理員給用戶分組，授予他們?cè)L問某些程序和分級(jí)目錄的權(quán)限；采用系統(tǒng)審計(jì)，跟蹤記錄所有安全事件及系統(tǒng)管理員工作。

B1級(jí)：標(biāo)記安全保護(hù)級(jí)，對(duì)網(wǎng)絡(luò)上每個(gè)對(duì)象都予實(shí)施保護(hù)；支持多級(jí)安全，對(duì)網(wǎng)絡(luò)、應(yīng)用程序工作站實(shí)施不同的安全策略；對(duì)象必須在訪問控制之下，不允許擁有者自己改變所屬資源的權(quán)限。

B2級(jí)：結(jié)構(gòu)化保護(hù)級(jí)，對(duì)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)中所有對(duì)象都加以定義，給一個(gè)標(biāo)簽；為工作站、終端等設(shè)備分配不同的安全級(jí)別；按最小特權(quán)原則取消權(quán)力無限大的特權(quán)用戶。

B3級(jí)：安全域級(jí)，要求用戶工作站或終端必須通過信任的途徑連接到網(wǎng)絡(luò)系統(tǒng)內(nèi)部的主機(jī)上；采用硬件來保護(hù)系統(tǒng)的數(shù)據(jù)存儲(chǔ)區(qū)；根據(jù)最小特權(quán)原則，增加了系統(tǒng)安全員，將系統(tǒng)管理員、系統(tǒng)操作員和系統(tǒng)安全員的職責(zé)分離，將人為因素對(duì)計(jì)算機(jī)安全的威脅減至最小。A1級(jí)：驗(yàn)證設(shè)計(jì)級(jí)，是計(jì)算機(jī)安全級(jí)中最高一級(jí)，本級(jí)包括了以上各級(jí)別的所有措施，并附加了一個(gè)安全系統(tǒng)的受監(jiān)視設(shè)計(jì)；合格的個(gè)體必須經(jīng)過分析并通過這一設(shè)計(jì)；所有構(gòu)成系

統(tǒng)的部件的來源都必須有安全保證；還規(guī)定了將安全計(jì)算機(jī)系統(tǒng)運(yùn)送到現(xiàn)場(chǎng)安裝所必須遵守的程序。

在網(wǎng)絡(luò)的具體設(shè)計(jì)過程中，應(yīng)根據(jù)網(wǎng)絡(luò)總體規(guī)劃中提出的各項(xiàng)技術(shù)規(guī)范、設(shè)備類型、性能要求以及經(jīng)費(fèi)等，綜合考慮來確定一個(gè)比較合理、性能較高的網(wǎng)絡(luò)安全級(jí)別，從而實(shí)現(xiàn)網(wǎng)絡(luò)的安全性和可靠性。

4網(wǎng)絡(luò)安全應(yīng)具備的功能

為了能更好地適應(yīng)信息技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)必須具備以下功能：

（1）訪問控制：通過對(duì)特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。

（2）檢查安全漏洞：通過對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效。

（3）攻擊監(jiān)控：通過對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取響應(yīng)的行動(dòng)（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。

（4）加密通訊：主動(dòng)地加密通訊，可使攻擊者不能了解、修改敏感信息。

（5）認(rèn)證：良好的認(rèn)證體系可防止攻擊者假冒合法用戶。

（6）備份和恢復(fù)：良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。

（7）多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。

（8）設(shè)立安全監(jiān)控中心：為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護(hù)及緊急情況服務(wù)。5網(wǎng)絡(luò)系統(tǒng)安全綜合解決措施

要想實(shí)現(xiàn)網(wǎng)絡(luò)安全功能，應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全方位防范，從而制定出比較合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。下面就網(wǎng)絡(luò)系統(tǒng)的安全問題，提出一些防范措施。

5.1物理安全

物理安全可以分為兩個(gè)方面：一是人為對(duì)網(wǎng)絡(luò)的損害；二是網(wǎng)絡(luò)對(duì)使用者的危害。

最常見的是施工人員由于對(duì)地下電纜不了解，從而造成電纜的破壞，這種情況可通過立標(biāo)志牌加以防范；未采用結(jié)構(gòu)化布線的網(wǎng)絡(luò)經(jīng)常會(huì)出現(xiàn)使用者對(duì)電纜的損壞，這就需要盡量采用結(jié)構(gòu)化布線來安裝網(wǎng)絡(luò)；人為或自然災(zāi)害的影響，需在規(guī)劃設(shè)計(jì)時(shí)加以考慮。

網(wǎng)絡(luò)對(duì)使用者的危害主要是電纜的電擊、高頻信號(hào)的幅射等，這需要對(duì)網(wǎng)絡(luò)的絕緣、接地和屏蔽工作做好。

5.2訪問控制安全

訪問控制識(shí)別并驗(yàn)證用戶，將用戶限制在已授權(quán)的活動(dòng)和資源范圍之內(nèi)。網(wǎng)絡(luò)的訪問控制安全可以從以下幾個(gè)方面考慮。

（1）口令

網(wǎng)絡(luò)安全系統(tǒng)的最外層防線就是網(wǎng)絡(luò)用戶的登錄，在注冊(cè)過程中，系統(tǒng)會(huì)檢查用戶的登錄名和口令的合法性，只有合法的用戶才可以進(jìn)入系統(tǒng)。

（2）網(wǎng)絡(luò)資源屬主、屬性和訪問權(quán)限

網(wǎng)絡(luò)資源主要包括共享文件、共享打印機(jī)、網(wǎng)絡(luò)通信設(shè)備等網(wǎng)絡(luò)用戶都有可以使用的資源。資源屬主體現(xiàn)了不同用戶對(duì)資源的從屬關(guān)系，如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性，如可被誰讀、寫或執(zhí)行等。訪問權(quán)限主要體現(xiàn)在用戶對(duì)網(wǎng)絡(luò)資源的可用程度上。利用指定網(wǎng)絡(luò)資源的屬主、屬性和訪問權(quán)限可以有效地在應(yīng)用級(jí)控制網(wǎng)絡(luò)系統(tǒng)的安全性。

（3）網(wǎng)絡(luò)安全監(jiān)視

網(wǎng)絡(luò)監(jiān)視通稱為“網(wǎng)管”，它的作用主要是對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行進(jìn)行動(dòng)態(tài)地監(jiān)視并及時(shí)處理各種事件。通過網(wǎng)絡(luò)監(jiān)視可以簡(jiǎn)單明了地找出并解決網(wǎng)絡(luò)上的安全問題，如定位網(wǎng)絡(luò)故障點(diǎn)、捉

住IP盜用者、控制網(wǎng)絡(luò)訪問范圍等。

（4）審計(jì)和跟蹤

網(wǎng)絡(luò)的審計(jì)和跟蹤包括對(duì)網(wǎng)絡(luò)資源的使用、網(wǎng)絡(luò)故障、系統(tǒng)記帳等方面的記錄和分析。一般由兩部分組成：一是記錄事件，即將各類事件統(tǒng)統(tǒng)記錄到文件中；二是對(duì)記錄進(jìn)行分析和統(tǒng)計(jì)，從而找出問題所在。

5.3數(shù)據(jù)傳輸安全

傳輸安全要求保護(hù)網(wǎng)絡(luò)上被傳輸?shù)男畔?，以防止被?dòng)地和主動(dòng)地侵犯。對(duì)數(shù)據(jù)傳輸安全可以采取如下措施：

（1）加密與數(shù)字簽名

任何良好的安全系統(tǒng)必須包括加密！這已成為既定的事實(shí)。網(wǎng)絡(luò)上的加密可以分為三層：第一層為數(shù)據(jù)鏈路層加密，即將數(shù)據(jù)在線路傳輸前后分別對(duì)其進(jìn)行加密和解密，這樣可以減少在傳輸線路上被竊取的危險(xiǎn)；第二層是傳輸層的加密，使數(shù)據(jù)在網(wǎng)絡(luò)傳輸期間保持加密狀態(tài)；第三層是應(yīng)用層上的加密，讓網(wǎng)絡(luò)應(yīng)用程序?qū)?shù)據(jù)進(jìn)行加密和解密。當(dāng)然可以對(duì)這三層進(jìn)行綜合加密，以增強(qiáng)信息的安全性和可靠性。

數(shù)字簽名是數(shù)據(jù)的接收者用來證實(shí)數(shù)據(jù)的發(fā)送者確實(shí)無誤的一種方法，它主要通過加密算法和證實(shí)協(xié)議而實(shí)現(xiàn)。

（2）防火墻

防火墻（Firewall）是Internet上廣泛應(yīng)用的一種安全措施，它可以設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它能通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地檢測(cè)網(wǎng)絡(luò)內(nèi)外信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

（3）User Name/Password認(rèn)證

該種認(rèn)證方式是最常用的一種認(rèn)證方式，用于操作系統(tǒng)登錄、telnet（遠(yuǎn)程登錄）、rlogin（遠(yuǎn)程登錄）等，但此種認(rèn)證方式過程不加密，即password容易被監(jiān)聽和解密。

（4）使用摘要算法的認(rèn)證

Radius（遠(yuǎn)程撥號(hào)認(rèn)證協(xié)議）、OSPF（開放路由協(xié)議）、SNMP Security Protocol等均使用共享的Security Key（密鑰），加上摘要算法（MD5）進(jìn)行認(rèn)證，但摘要算法是一個(gè)不可逆的過程，因此，在認(rèn)證過程中，由摘要信息不能計(jì)算出共享的security key，所以敏感信息不能在網(wǎng)絡(luò)上傳輸。市場(chǎng)上主要采用的摘要算法主要有MD5和SHA-1。

（5）基于PKI的認(rèn)證

使用PKI（公開密鑰體系）進(jìn)行認(rèn)證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對(duì)稱加密、對(duì)稱加密、數(shù)字簽名等技術(shù)，很好地將安全性和高效性結(jié)合起來。這種認(rèn)證方法目前應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問、客戶認(rèn)證、防火墻認(rèn)證等領(lǐng)域。該種認(rèn)證方法安全程度很高，但是涉及到比較繁重的證書管理任務(wù)。

（6）虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)

VPN技術(shù)主要提供在公網(wǎng)上的安全的雙向通訊，采用透明的加密方案以保證數(shù)據(jù)的完整性和保密性。

VPN技術(shù)的工作原理：VPN系統(tǒng)可使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上實(shí)現(xiàn)安全通信，它采用復(fù)雜的算法來加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會(huì)被竊聽。其處理過程大體是這樣：

① 要保護(hù)的主機(jī)發(fā)送明文信息到連接公共網(wǎng)絡(luò)的VPN設(shè)備；

② VPN設(shè)備根據(jù)網(wǎng)管設(shè)置的規(guī)則，確定是否需要對(duì)數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過。③ 對(duì)需要加密的數(shù)據(jù)，VPN設(shè)備對(duì)整個(gè)數(shù)據(jù)包進(jìn)行加密和附上數(shù)字簽名。

④ VPN設(shè)備加上新的數(shù)據(jù)報(bào)頭，其中包括目的地VPN設(shè)備需要的安全信息和一些初始化參數(shù)。

⑤ VPN設(shè)備對(duì)加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標(biāo)VPN設(shè)備的IP地址進(jìn)行重新封裝，重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸。

⑥ 當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)VPN設(shè)備時(shí)，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對(duì)無誤后，數(shù)據(jù)包被解密。

綜上所述，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)傳輸?shù)陌踩珕栴}，我們必須要做到以下幾點(diǎn)。第一，應(yīng)嚴(yán)格限制上網(wǎng)用戶所訪問的系統(tǒng)信息和資源，這一功能可通過在訪問服務(wù)器上設(shè)置NetScreen防火墻來實(shí)現(xiàn)。第二，應(yīng)加強(qiáng)對(duì)上網(wǎng)用戶的身份認(rèn)證，使用RADIUS等專用身份驗(yàn)證服務(wù)器。一方面，可以實(shí)現(xiàn)對(duì)上網(wǎng)用戶帳號(hào)的統(tǒng)一管理；另一方面，在身份驗(yàn)證過程中采用加密的手段，避免用戶口令泄露的可能性。第三，在數(shù)據(jù)傳輸過程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。一種方法是使用PGP for Business Security對(duì)數(shù)據(jù)加密。另一種方法是采用NetScreen防火墻所提供的VPN技術(shù)。VPN在提供網(wǎng)間數(shù)據(jù)加密的同時(shí)，也提供了針對(duì)單機(jī)用戶的加密客戶端軟件，即采用軟件加密的技術(shù)來保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

第四篇：計(jì)算機(jī)網(wǎng)絡(luò)安全問題淺析論文

畢業(yè)論文

論文題目： 計(jì)算機(jī)網(wǎng)絡(luò)安全問題淺析

專 業(yè)： 計(jì)算機(jī)信息管理 作 者： 韓子厚 學(xué) 校： 天津城市建設(shè)管理職業(yè)技術(shù)學(xué)院 指導(dǎo)教師：

2011年 月 日

目錄

內(nèi)容摘要.............................................................2 計(jì)算機(jī)網(wǎng)絡(luò)安全.......................................................3

第一章 方案目標(biāo)......................................................3 第二章 安全需求......................................................3 第三章 風(fēng)險(xiǎn)分析......................................................4 第四章 解決方案......................................................4 參考文獻(xiàn)............................................................11 致謝................................................................12

內(nèi)容摘要

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯(cuò)誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時(shí)間和金錢上是很充足、富有的人。同時(shí)，必須清楚地認(rèn)識(shí)到，能夠制止偶然實(shí)施破壞行為的敵人的方法對(duì)那些慣于作案的老手來說，收效甚微。

關(guān)鍵詞 互聯(lián)網(wǎng) 網(wǎng)絡(luò)安全 遠(yuǎn)程服務(wù) 編程 數(shù)據(jù)

計(jì)算機(jī)網(wǎng)絡(luò)安全

第一章 方案目標(biāo)

本方案主要從網(wǎng)絡(luò)層次考慮，將網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)成一個(gè)支持各級(jí)別用戶或用戶群的安全網(wǎng)絡(luò)，該網(wǎng)在保證系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全的同時(shí)，還實(shí)現(xiàn)與Internet或國(guó)內(nèi)其它網(wǎng)絡(luò)的安全互連。本方案在保證網(wǎng)絡(luò)安全可以滿足各種用戶的需求，比如：可以滿足個(gè)人的通話保密性，也可以滿足企業(yè)客戶的計(jì)算機(jī)系統(tǒng)的安全保障，數(shù)據(jù)庫不被非法訪問和破壞，系統(tǒng)不被病毒侵犯，同時(shí)也可以防止諸如反動(dòng)淫穢等有害信息在網(wǎng)上傳播等。

需要明確的是，安全技術(shù)并不能杜絕所有的對(duì)網(wǎng)絡(luò)的侵?jǐn)_和破壞，它的作用僅在于最大限度地防范，以及在受到侵?jǐn)_的破壞后將損失盡旦降低。具體地說，網(wǎng)絡(luò)安全技術(shù)主要作用有以下幾點(diǎn)：

1．采用多層防衛(wèi)手段，將受到侵?jǐn)_和破壞的概率降到最低； 2．提供迅速檢測(cè)非法使用和非法初始進(jìn)入點(diǎn)的手段，核查跟蹤侵入者的活動(dòng)；

3．提供恢復(fù)被破壞的數(shù)據(jù)和系統(tǒng)的手段，盡量降低損失； 4．提供查獲侵入者的手段。

網(wǎng)絡(luò)安全技術(shù)是實(shí)現(xiàn)安全管理的基礎(chǔ)，近年來，網(wǎng)絡(luò)安全技術(shù)得到了迅猛發(fā)展，已經(jīng)產(chǎn)生了十分豐富的理論和實(shí)際內(nèi)容。

第二章 安全需求

通過對(duì)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。即，可用性： 授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù)

機(jī)密性： 信息不暴露給未授權(quán)實(shí)體或進(jìn)程 完整性： 保證數(shù)據(jù)不被未授權(quán)修改

可控性： 控制授權(quán)范圍內(nèi)的信息流向及操作方式 可審查性：對(duì)出現(xiàn)的安全問題提供依據(jù)與手段

訪問控制：需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離，對(duì)與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制。同樣，對(duì)內(nèi)部網(wǎng)絡(luò)，由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離，并實(shí)現(xiàn)相互的訪問控制。

數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲(chǔ)過程中防止非法竊取、篡改信息的有效手段。

安全審計(jì)： 是識(shí)別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容，一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng)，識(shí)別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為，即時(shí)響應(yīng)（如報(bào)警）并進(jìn)行阻斷；二是對(duì)信息內(nèi)容的審計(jì)，可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏

第三章 風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運(yùn)行的前提。網(wǎng)絡(luò)安全不單是單點(diǎn)的安全，而是整個(gè)信息網(wǎng)的安全，需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理方面進(jìn)行立體的防護(hù)。要知道如何防護(hù)，首先需要了解安全風(fēng)險(xiǎn)來自于何處。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個(gè)層面上的諸多風(fēng)險(xiǎn)類。無論哪個(gè)層面上的安全措施不到位，都會(huì)存在很大的安全隱患，都有可能造成網(wǎng)絡(luò)的中斷。根據(jù)國(guó)內(nèi)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況，應(yīng)當(dāng)從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進(jìn)行全面地分析。

風(fēng)險(xiǎn)分析是網(wǎng)絡(luò)安全技術(shù)需要提供的一個(gè)重要功能。它要連續(xù)不斷地對(duì)網(wǎng)絡(luò)中的消息和事件進(jìn)行檢測(cè)，對(duì)系統(tǒng)受到侵?jǐn)_和破壞的風(fēng)險(xiǎn)進(jìn)行分析。風(fēng)險(xiǎn)分析必須包括網(wǎng)絡(luò)中所有有關(guān)的成分。

第四章 解決方案

4.1 設(shè)計(jì)原則

針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際情況，解決網(wǎng)絡(luò)的安全保密問題是當(dāng)務(wù)之急，考慮技術(shù)難度及經(jīng)費(fèi)等因素，設(shè)計(jì)時(shí)應(yīng)遵循如下思想：

1．大幅度地提高系統(tǒng)的安全性和保密性；

2．保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性；

3．易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作； 4．盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展； 5．安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期使用； 6．安全與密碼產(chǎn)品具有合法性，及經(jīng)過國(guó)家有關(guān)管理部門的認(rèn)可或認(rèn)證；

7．分步實(shí)施原則：分級(jí)管理 分步實(shí)施。4.2 安全策略

針對(duì)上述分析，我們采取以下安全策略：

1．采用漏洞掃描技術(shù)，對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。

2．采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：

(1)防火墻技術(shù)：在網(wǎng)絡(luò)的對(duì)外接口，采用防火墻技術(shù)，在網(wǎng)絡(luò)層進(jìn)行訪問控制。

(2)NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息。

(3)VPN：虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會(huì)覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的機(jī)器都處于一個(gè)網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨(dú)占使用，而事實(shí)上并非如此。

(4）網(wǎng)絡(luò)加密技術(shù)(Ipsec)：采用網(wǎng)絡(luò)加密技術(shù)，對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾?。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。

(5)認(rèn)證：提供基于身份的認(rèn)證，并在各種認(rèn)證機(jī)制中可選擇使用。(6)多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng)：采用多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng)，對(duì)病毒實(shí)現(xiàn)全面的防護(hù)。

(7）網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè)：采用入侵檢測(cè)系統(tǒng)，對(duì)主機(jī)和網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和預(yù)警，進(jìn)一步提高網(wǎng)絡(luò)防御外來攻擊的能力。

3．實(shí)時(shí)響應(yīng)與恢復(fù)：制定和完善安全管理制度，提高對(duì)網(wǎng)絡(luò)攻擊等實(shí)時(shí)響應(yīng)與恢復(fù)能力。

4．建立分層管理和各級(jí)安全管理中心。4.3 防御系統(tǒng)

我們采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)（Ipsec）、身份認(rèn)證技術(shù)、多層次多級(jí)別的防病毒系統(tǒng)、入侵檢測(cè)技術(shù)，構(gòu)成網(wǎng)絡(luò)安全的防御系統(tǒng)。4.3.1 物理安全

物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。

為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴(kuò)散。通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴(kuò)散出去的空間信號(hào)。這是政府、軍隊(duì)、金融機(jī)構(gòu)在興建信息中心時(shí)首要的設(shè)置的條件。

為保證網(wǎng)絡(luò)的正常運(yùn)行，在物理安全方面應(yīng)采取如下措施：

1．產(chǎn)品保障方面：主要指產(chǎn)品采購、運(yùn)輸、安裝等方面的安全措施。2．運(yùn)行安全方面：網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對(duì)一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。

3．防電磁輻射方面：所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機(jī)。

4．保安方面：主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)、安全設(shè)備的安全防護(hù)。4.3.2 防火墻技術(shù)

防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物

理實(shí)現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備――路由器、計(jì)算機(jī)或其他特制地硬件設(shè)備。防火墻可以是獨(dú)立地系統(tǒng)，也可以在一個(gè)進(jìn)行網(wǎng)絡(luò)互連地路由器上實(shí)現(xiàn)防火墻。用防火墻來實(shí)現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：

（1）屏蔽路由器：又稱包過濾防火墻。

（2）雙穴主機(jī)：雙穴主機(jī)是包過濾網(wǎng)關(guān)的一種替代。（3）主機(jī)過濾結(jié)構(gòu)：這種結(jié)構(gòu)實(shí)際上是包過濾和代理的結(jié)合。（4）屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的變形。根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型。4.3.2.1 包過濾型

包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn) ,一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。包過濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻。4.3.2.2 網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只

是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。4.3.2.3 代理型

代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。

4.3.2.4 監(jiān)測(cè)型

監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí),這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測(cè)來自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品,雖然監(jiān)測(cè)型防火墻安全性上已超越了包過濾型和代理服務(wù)器型防火墻,但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開

始使用監(jiān)測(cè)型防火墻。基于對(duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。相關(guān)性：畢業(yè)論文,免費(fèi)畢業(yè)論文,大學(xué)畢業(yè)論文,畢業(yè)論文模板 4.3.3 入侵檢測(cè)

入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為

是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過它執(zhí)行以下任務(wù)來實(shí)現(xiàn)：

1．監(jiān)視、分析用戶及系統(tǒng)活動(dòng)； 2．系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；

3．識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警； 4．異常行為模式的統(tǒng)計(jì)分析； 5．評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

6．操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。4.4 安全服務(wù)

網(wǎng)絡(luò)是個(gè)動(dòng)態(tài)的系統(tǒng)，它的變化包括網(wǎng)絡(luò)設(shè)備的調(diào)整，網(wǎng)絡(luò)配置的變化，各種操作系統(tǒng)、應(yīng)用程序的變化，管理人員的變化。即使最初制定的安全策略十分可靠，但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的不斷變化，安全策略可能失效，必須及時(shí)進(jìn)行相應(yīng)的調(diào)整。針對(duì)以上問題和網(wǎng)管人員的不足，下面介紹一系列比較重要的網(wǎng)絡(luò)服務(wù)。包括：

4.4.1 通信伙伴認(rèn)證

通信伙伴認(rèn)證服務(wù)的作用是通信伙伴之間相互確庥身份，防止他人插入通信過程。認(rèn)證一般在通信之前進(jìn)行。但在必要的時(shí)候也可以在通信過程中隨時(shí)進(jìn)行。認(rèn)證有兩種形式，一種是檢查一方標(biāo)識(shí)的單方認(rèn)證，一種是通信雙方相互檢查對(duì)方標(biāo)識(shí)的相互認(rèn)證。

通信伙伴認(rèn)證服務(wù)可以通過加密機(jī)制，數(shù)字簽名機(jī)制以及認(rèn)證機(jī)制實(shí)現(xiàn)。4.4.2 訪問控制

訪問控制服務(wù)的作用是保證只有被授權(quán)的用戶才能訪問網(wǎng)絡(luò)和利用資源。訪問控制的基本原理是檢查用戶標(biāo)識(shí)，口令，根據(jù)授予的權(quán)限限制其對(duì)資源的利用范圍和程度。例如是否有權(quán)利用主機(jī)CPU運(yùn)行程序，是否有權(quán)對(duì)數(shù)據(jù)庫進(jìn)行查詢和修改等等。訪問控制服務(wù)通過訪問控制機(jī)制實(shí)現(xiàn)。4.4.3 數(shù)據(jù)保密

數(shù)據(jù)保密服務(wù)的作用是防止數(shù)據(jù)被無權(quán)者閱讀。數(shù)據(jù)保密既包括存儲(chǔ)中的數(shù)據(jù)，也包括傳輸中的數(shù)據(jù)。保密查以對(duì)特定文件，通信鏈路，甚至文件中指定的字段進(jìn)行。

數(shù)據(jù)保密服務(wù)可以通過加密機(jī)制和路由控制機(jī)制實(shí)現(xiàn)。4.4.4 業(yè)務(wù)流分析保護(hù)

業(yè)務(wù)流分析保護(hù)服務(wù)的作用是防止通過分析業(yè)務(wù)流，來獲取業(yè)務(wù)量特征，信息長(zhǎng)度以及信息源和目的地等信息。

業(yè)務(wù)流分析保護(hù)服務(wù)可以通過加密機(jī)制，偽裝業(yè)務(wù)流機(jī)制，路由控制機(jī)制實(shí)現(xiàn)。

4.4.5 數(shù)據(jù)完整性保護(hù)

數(shù)據(jù)完整性保護(hù)服務(wù)的作用是保護(hù)存儲(chǔ)和傳輸中的數(shù)據(jù)不被刪除，更改，插入和重復(fù)，必要時(shí)該服務(wù)也可以包含一定的恢復(fù)功能。數(shù)據(jù)完整性保護(hù)服務(wù)可以通過加密機(jī)制，數(shù)字簽名機(jī)制以及數(shù)據(jù)完整性機(jī)制實(shí)現(xiàn) 4.4.6 簽字

簽字服務(wù)是用發(fā)送簽字的辦法來對(duì)信息的接收進(jìn)行確認(rèn)，以證明和承認(rèn)信息是由簽字者發(fā)出或接收的。這個(gè)服務(wù)的作用在于避免通信雙方對(duì)信息的來源發(fā)生爭(zhēng)議。簽字服務(wù)通過數(shù)字簽名機(jī)制及公證機(jī)制實(shí)現(xiàn)。4.5 安全技術(shù)的研究現(xiàn)狀和動(dòng)向

我國(guó)信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測(cè)、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長(zhǎng)期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開展研究，各部分相互協(xié)同形成有機(jī)整體。國(guó)際上信息安全研究起步較早，力度大，積累多，應(yīng)用廣，在70年代美國(guó)的網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計(jì)算機(jī)保密模型”（Beu& La padula模型）的基礎(chǔ)上，指定了“

可信計(jì)算機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則”（TCSEC），其后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面和系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則。

結(jié)論

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

本論文從多方面描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問題的解決，可以使讀者有對(duì)網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

參考文獻(xiàn)

[1] 韓希義, 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ),北京高等教育出版社，2004 [2]徐敬東等, 計(jì)算機(jī)網(wǎng)絡(luò), 北京清華大學(xué)出版社，2002

[3]沈輝等, 計(jì)算機(jī)網(wǎng)絡(luò)工程與實(shí)訓(xùn),北京清華大學(xué)出版社，2002 [4] 褚建立等, 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)用教程,北京電子工業(yè)出版社，2003 [5] 劉化君, 計(jì)算機(jī)網(wǎng)絡(luò)原理與技術(shù),北京電子工業(yè)出版社，2005 [6] 謝希仁, 計(jì)算機(jī)網(wǎng)絡(luò), 北京電子工業(yè)出版社，1999 [7] 陸姚遠(yuǎn), 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù), 北京高等教育出版社，2000 [8] 劉習(xí)華等, 網(wǎng)絡(luò)工程,重慶大學(xué)出版社，2004 [9] 彭澎, 計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用教程,北京電子工業(yè)出版社，2000 [10] 陳月波, 使用組網(wǎng)技術(shù)實(shí)訓(xùn)教程,北京科學(xué)出版社，2003 致謝

本研究及學(xué)位論文是在我的導(dǎo)師 副教授的親切關(guān)懷和悉心指導(dǎo)下完成的。他嚴(yán)肅的科學(xué)態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神，精益求精的工作作風(fēng)，深深地感染和激勵(lì)著我。從課題的選擇到項(xiàng)目的最終完成，鄭老師都始終給予我細(xì)心的指導(dǎo)和不懈的支持。兩年多來，鄭教授不僅在學(xué)業(yè)上給我以精心指導(dǎo)，同時(shí)還在思想、生活上給我以無微不至的關(guān)懷，在此謹(jǐn)向鄭老師致以誠(chéng)摯的謝意和崇高的敬意。

在此，我還要感謝在一起愉快的度過研究生生活的 各位同門，正是由于你們的幫助和支持，我才能克服一個(gè)一個(gè)的困難和疑惑，直至本文的順利完成。特別感謝我的師妹葉秋香同學(xué)，她對(duì)本課題做了不少工作，給予我不少的幫助。

在論文即將完成之際，我的心情無法平靜，從開始進(jìn)入課題到論文的順利完成，有多少可敬的師長(zhǎng)、同學(xué)、朋友給了我無言的幫助，在這里請(qǐng)接受我誠(chéng)摯的謝意!最后我還要感謝培養(yǎng)我長(zhǎng)大含辛茹苦的父母，謝謝你們!

第五篇：計(jì)算機(jī)網(wǎng)絡(luò)安全問題分析

計(jì)算機(jī)網(wǎng)絡(luò)安全問題分析

鄭培紅 周剛

摘要: 計(jì)算機(jī)網(wǎng)絡(luò)安全問題已成為當(dāng)今信息時(shí)代的研究熱點(diǎn)。當(dāng)前的網(wǎng)絡(luò)存在著計(jì)算機(jī)病毒、計(jì)算機(jī)黑客攻擊等等問題。本文介紹了當(dāng)前的計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅, 而后介紹到計(jì)算機(jī)網(wǎng)絡(luò)安全的特征, 最后給出幾點(diǎn)意見。

關(guān)鍵詞: 計(jì)算機(jī)網(wǎng)絡(luò)安全;黑客;病毒

一、引言 世紀(jì)全世界的計(jì)算機(jī)都將通過Internet 聯(lián)到一起, 信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范, 而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入21 世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候, 我國(guó)建立起一套完整的網(wǎng)絡(luò)安全體系, 特別是從政策上和法律上建立起有中國(guó)自己特色的網(wǎng)絡(luò)安全體系。在當(dāng)今網(wǎng)絡(luò)化的世界中, 網(wǎng)絡(luò)的開放性和共享性在方便了人們使用的同時(shí), 也使得網(wǎng)絡(luò)很容易受到攻擊, 計(jì)算機(jī)信息和資源也很容易受到黑客的攻擊, 甚至是后果十分嚴(yán)重的攻擊, 諸如數(shù)據(jù)被人竊取, 服務(wù)器不能提供服務(wù)等等。因此, 網(wǎng)絡(luò)和信息安全技術(shù)也越來越受到人們的重視, 由此推動(dòng)了入侵檢測(cè)、虛擬專用網(wǎng)、訪問控制、面向?qū)ο笙到y(tǒng)的安全等各種網(wǎng)絡(luò)、信息安全技術(shù)的蓬勃發(fā)展。

計(jì)算機(jī)網(wǎng)絡(luò)是計(jì)算機(jī)科學(xué)發(fā)展到一定階段的產(chǎn)物, 是由計(jì)算機(jī)系統(tǒng)和終端設(shè)備, 通過線路連接形成的, 實(shí)現(xiàn)了用戶遠(yuǎn)程通信和資源的共享, 而且有較高的可靠性和擴(kuò)展性。計(jì)算機(jī)網(wǎng)絡(luò)化是信息社會(huì)的主要標(biāo)志之一?；ヂ?lián)網(wǎng)是通過TCP/IP 協(xié)議將各個(gè)不同地區(qū)及不同結(jié)構(gòu)的計(jì)算機(jī)連接在一起組成的網(wǎng)絡(luò)形式。隨著互聯(lián)網(wǎng)用戶的不斷發(fā)展促進(jìn)了信息交流, 然而，網(wǎng)絡(luò)的發(fā)展也帶來安全方面的問題, 例如網(wǎng)絡(luò)中使用的傳輸控制協(xié)議(TCP)、互聯(lián)網(wǎng)協(xié)議、IP、路由器等都會(huì)出現(xiàn)安全方面的問題, 需要采取鑒別、數(shù)據(jù)加密、數(shù)字簽名、防火墻等必需的安全機(jī)制和防護(hù)措施。

二、計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅

計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅大體可分為兩種: 一是對(duì)網(wǎng)絡(luò)中信息的威脅;二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。影響計(jì)算機(jī)網(wǎng)絡(luò)的因素很多, 針對(duì)網(wǎng)絡(luò)安全的威脅主要有以下幾種。

一是無意失誤。如操作員安全配置不當(dāng)造成的安全漏洞, 用戶安全意識(shí)不強(qiáng), 用戶口令選擇不慎, 用戶將自己的口令隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來威脅。二是人為的惡意攻擊。這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅, 敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種: 一種是主動(dòng)攻擊, 它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動(dòng)攻擊, 它是在不影響網(wǎng)絡(luò)正常工作的情況下, 進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害, 并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。三是網(wǎng)絡(luò)軟件的漏洞和“后門”。網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的, 而這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo), 經(jīng)常出現(xiàn)的黑客攻擊網(wǎng)絡(luò)內(nèi)部的事件, 這些事件的大部分就是因?yàn)榘踩胧┎煌晟扑兄碌目喙?/p>

三、計(jì)算機(jī)網(wǎng)絡(luò)安全問題的特征

（一）網(wǎng)絡(luò)安全先天脆弱

計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的脆弱性是伴隨計(jì)算機(jī)網(wǎng)絡(luò)一同產(chǎn)生的, 換句話說, 安全系統(tǒng)脆弱是計(jì)算機(jī)網(wǎng)絡(luò)與生俱來的致命弱點(diǎn)。在網(wǎng)絡(luò)建設(shè)中, 網(wǎng)絡(luò)特性決定了不可能無條件、無限制的提高其安全性能。要使網(wǎng)絡(luò)更方便快捷, 又要保證網(wǎng)絡(luò)安全, 這是一個(gè)非常棘手的“兩難選擇”, 而網(wǎng)絡(luò)安全只能在“兩難選擇”所允許的范圍中尋找支撐點(diǎn)。因此, 可以說世界上任何一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)都不是絕對(duì)安全的。

（二）黑客攻擊后果嚴(yán)重

近幾年, 黑客猖狂肆虐, 四面出擊, 使交通通訊網(wǎng)絡(luò)中斷, 軍事指揮系統(tǒng)失靈, 電力供水系統(tǒng)癱瘓, 銀行金融系統(tǒng)混亂--危及國(guó)家的政治、軍事、經(jīng)濟(jì)的安全與穩(wěn)定, 在世界各國(guó)造成了難以估量的損。

（三）網(wǎng)絡(luò)殺手集團(tuán)化

目前, 網(wǎng)絡(luò)殺手除了一般的黑客外, 還有一批具有高精尖技術(shù)的“專業(yè)殺手”, 更令人擔(dān)憂的是出現(xiàn)了具有集團(tuán)性質(zhì)的“網(wǎng)絡(luò)恐怖分子”甚至政府出面組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”, 其規(guī)模化、專業(yè)性和破壞程度都使其他黑客望塵莫及?？梢哉f, 由政府組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”是當(dāng)前網(wǎng)絡(luò)安全的最大隱患。目前, 美國(guó)正開展用無線電方式、衛(wèi)星輻射式注入方式、網(wǎng)絡(luò)方式把病毒植入敵方計(jì)算機(jī)主機(jī)或各類傳感器、網(wǎng)橋中的研究以伺機(jī)破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡(luò)系統(tǒng)。另外, 為達(dá)到預(yù)定目的, 對(duì)出售給潛在敵手的計(jì)算機(jī)芯片進(jìn)行暗中修改, 在CPU 中設(shè)置“芯片陷阱”, 可使美國(guó)通過因特網(wǎng)發(fā)布指令讓敵方電腦停止工作, 以起到“定時(shí)炸彈”的作用。

（三）破壞手段多元化

目前,“網(wǎng)絡(luò)恐怖分子”除了制造、傳播病毒軟件、設(shè)置“郵箱炸彈”, 更多的是采取借助工具軟件對(duì)網(wǎng)絡(luò)發(fā)動(dòng)襲擊, 令其癱瘓或者盜用一些大型研究機(jī)構(gòu)的服務(wù)器, 使用“拒絕服務(wù)”程序, 如TFN 和與之相近的程序等, 指揮它們向目標(biāo)網(wǎng)站傳輸遠(yuǎn)遠(yuǎn)超出其帶寬容量的垃圾數(shù)據(jù), 從而使其運(yùn)行中斷。多名黑客甚至可以借助同樣的軟件在不同的地點(diǎn)“集中火力”對(duì)一個(gè)或者多個(gè)網(wǎng)絡(luò)發(fā)起攻擊。而且, 黑客們還可以把這些軟件神不知鬼不覺地通過互聯(lián)網(wǎng)安裝到別人的電腦上, 然后, 在電腦主人根本不知道的情況下“借刀殺人”。總之, 影響網(wǎng)絡(luò)安全的兩大方面: 一是來自外部網(wǎng)絡(luò)的安全問題。二是來自內(nèi)部網(wǎng)絡(luò)的安全問題。

四、加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的安全防范措施

（一）提高思想認(rèn)識(shí)

近年來, 中國(guó)的網(wǎng)絡(luò)發(fā)展非常迅速, 同時(shí), 中國(guó)的網(wǎng)絡(luò)安全也越來越引起人們的關(guān)注, 國(guó)家權(quán)威部門曾對(duì)國(guó)內(nèi)網(wǎng)站的安全系統(tǒng)進(jìn)行測(cè)試, 發(fā)現(xiàn)不少單位的計(jì)算機(jī)系統(tǒng)都存在安全漏洞, 有些單位還非常嚴(yán)重, 隨時(shí)可能被黑客入侵。當(dāng)前, 世界各國(guó)對(duì)信息戰(zhàn)十分重視, 假如我們的網(wǎng)絡(luò)安全無法保證, 這勢(shì)必影響到國(guó)家政治、經(jīng)濟(jì)的安全。因此, 從思想上提高對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí),是我們當(dāng)前的首要任務(wù)。

（二）健全管理制度

任何網(wǎng)站都不是絕對(duì)安全的, 值得一提的是, 當(dāng)前一些單位在急忙趕搭“網(wǎng)絡(luò)快車”時(shí), 只管好用, 不管安全, 這種短視必然帶來嚴(yán)重的惡果, 與“網(wǎng)絡(luò)恐怖分子”的較量是一場(chǎng)“沒有硝煙的戰(zhàn)爭(zhēng)”, 是高科技的較量, 是“硬碰硬”的較量。根據(jù)這一情況, 當(dāng)前工作的重點(diǎn), 一是要狠抓日常管理制度的落實(shí), 要把安全管理制度落實(shí)到每一個(gè)環(huán)節(jié)中;二是要加強(qiáng)計(jì)算機(jī)從業(yè)人員的行業(yè)歸口管理, 對(duì)這些人員要強(qiáng)化安全教育和法制教育, 建立人員管理檔案并進(jìn)行定期的檢查和培訓(xùn);三是要建立一支反黑客的“快速反應(yīng)部隊(duì)”, 同時(shí)加快加緊培養(yǎng)高水平的網(wǎng)絡(luò)系統(tǒng)管理員, 并盡快掌握那些關(guān)鍵技術(shù)和管理知識(shí)。

（三）強(qiáng)化防范措施

一般來說, 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多, 但目前最主要的因素是接受電子郵件和下載軟件兩種。下面就這兩種方式談?wù)劵镜姆婪洞胧? 1 切實(shí)保護(hù)電子郵件的安全

第一, 要做好郵件帳戶的安全防范。一定要保護(hù)好郵箱的密碼。入網(wǎng)帳號(hào)與口令應(yīng)該是需要保護(hù)的重中之重, 密碼要取得有技巧、有難度, 密碼最好能有多位數(shù), 且數(shù)字與字母相間, 中間還可以允許用特殊符號(hào)。對(duì)于比較重要的郵件地址不要隨便在網(wǎng)上暴露。第二, 將郵件信息加密處理。如使用A-LOCK, 在發(fā)送郵件之前對(duì)內(nèi)容(復(fù)制到粘貼板上)進(jìn)行加密。對(duì)方收到這種加密信件之后也必須用A-LOCK 來進(jìn)行解密才能閱讀信件。即使有人截獲了郵件信息, 看到的也是一堆毫無意義的亂碼。第三, 防止郵件炸彈。下面介紹幾種對(duì)付電子郵件炸彈的方法: ① 過濾電子郵件。凡可疑的E-MAIL 盡量不要開啟: 如果懷疑信箱有炸彈, 可以用郵件程序的遠(yuǎn)程郵箱管理功能來過濾信件, 如國(guó)產(chǎn)的郵件程序Foxmail。在進(jìn)行郵箱的遠(yuǎn)程管理時(shí), 仔細(xì)檢查郵件頭信息, 如果發(fā)現(xiàn)有來歷可疑的信件或符合郵件炸彈特征的信件, 可以直接把它從郵件服務(wù)器上刪除。② 使用殺毒軟件。一是郵件有附件的話, 不管是誰發(fā)過來的, 也不管其內(nèi)容是什么(即使是文檔, 也往往能成為病毒的潛伏場(chǎng)所, 像著名的Melissa), 都不要立即執(zhí)行, 而是先存盤, 然后用殺毒軟件檢查一番, 以確保安全。二是注意目前網(wǎng)上有一些別有用心的人以網(wǎng)站的名義, 讓你接受他們通過郵件附件推給你的軟件(多半是木馬S 端), 并以種種借口要求你立即執(zhí)行。對(duì)此, 凡是發(fā)過來的任何程序、甚至文檔都應(yīng)用殺毒軟件檢查一番。③ 使用轉(zhuǎn)信功能。用戶一般都有幾個(gè)E-mail 地址。最好申請(qǐng)一個(gè)容量較大的郵箱作為收信信箱。對(duì)于其它各種信箱, 最好支持轉(zhuǎn)信功能的, 并設(shè)置轉(zhuǎn)信到大信箱。所有其它郵件地址的信件都會(huì)自動(dòng)轉(zhuǎn)寄到大信箱內(nèi), 可以很好地起到保護(hù)信箱的作用。第四, 申請(qǐng)郵件數(shù)字簽證。數(shù)字簽證不但能夠保護(hù)郵件的信息安全, 而且通過它可以確認(rèn)信件的發(fā)送者。最后要注意對(duì)本地的已收發(fā)郵件進(jìn)行相應(yīng)的刪除處理。2 切實(shí)保障下載軟件的安全

對(duì)于網(wǎng)絡(luò)軟件, 需要指出的是: 一方面, 網(wǎng)上大多數(shù)的信息都是干凈的, 但也確實(shí)有一部分受到“污染”, 尤其是黑客和“網(wǎng)絡(luò)恐

怖分子”利用各種方法在網(wǎng)上擴(kuò)散病毒、木馬等以制造混亂, 而且手段十分狡猾、隱蔽, 很容易中了他們的圈套。另一方面, 由于因特網(wǎng)的迅捷與無所不在, 各式病毒、木馬的傳播速度和傳播范圍達(dá)到了前所未有的程度。因此我們對(duì)下載軟件和接受的E-MAIL 決不可大意。下載軟件時(shí)應(yīng)該注意:第一, 下載軟件應(yīng)盡量選擇客流大的專業(yè)站點(diǎn)。大型的專業(yè)站點(diǎn), 資金雄厚, 技術(shù)成熟, 水平較高, 信譽(yù)較佳, 大都有專人維護(hù),安全性能好, 提供的軟件問題較少。相比之下, 那些小型的個(gè)人站點(diǎn)所提供的軟件出問題的機(jī)率較高。第二, 從網(wǎng)上下載來軟件要進(jìn)行殺毒處理。對(duì)下載的任何軟件, 不要立即使用,WORD 文檔也不宜直接打開, 而應(yīng)先用殺毒軟件檢測(cè)一番, 進(jìn)行殺毒處理。殺毒軟件應(yīng)當(dāng)始終保持最新版本, 最好每月升級(jí)一次。第三, 防止染上“木馬”。一旦染上木馬后, 它就會(huì)給你的Windows 留下后門, 秘密監(jiān)視網(wǎng)絡(luò)信息, 一旦發(fā)現(xiàn)遠(yuǎn)方控制指令, 就會(huì)秘密地予以回應(yīng), 可以讓遠(yuǎn)方的控制者掌握對(duì)機(jī)器的完全控制權(quán)。此后在你完全不知的情況下, 遠(yuǎn)方的侵入者可以隨時(shí)在因特網(wǎng)上無限制地訪問你的計(jì)算機(jī), 因此它的危害是不言而喻的。最簡(jiǎn)便有效的預(yù)防措施是, 避免啟動(dòng)服務(wù)器端(S 端)。消除木馬的具體操作是, 首先拜訪注冊(cè)表, 獲取木馬的裝入信息, 找出S 端程序放于何處。然后先將注冊(cè)表中的木馬配置鍵刪掉, 重新啟動(dòng)計(jì)算機(jī), 再將程序也刪掉。21 世紀(jì)人類步入信息社會(huì)后, 網(wǎng)絡(luò)安全技術(shù)成為信息網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù), 信息這一社會(huì)發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障, 才能形成社會(huì)發(fā)展的推動(dòng)力。在我國(guó), 信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段, 有大量的工作需要我們?nèi)パ芯?、開發(fā)和探索。我們只有走有中國(guó)特色的防火墻技術(shù)發(fā)展之路, 以超常規(guī)的思路和超常規(guī)的措施, 趕上和超過發(fā)達(dá)國(guó)家的水平, 才能保證我國(guó)信息網(wǎng)絡(luò)的安全, 推動(dòng)我國(guó)國(guó)民經(jīng)濟(jì)的高速發(fā)展。