第一篇：計算機網(wǎng)絡(luò)中信息系統(tǒng)技術(shù)安全與防范

計算機網(wǎng)絡(luò)中信息系統(tǒng)技術(shù)安全與防范

隨著信息產(chǎn)業(yè)的高速發(fā)展，眾多企業(yè)都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng)，以充分利用各類信息資源。但是我們在享受信息產(chǎn)業(yè)發(fā)展帶給我們的便利的同時，也面臨著巨大的風(fēng)險。我們的系統(tǒng)隨時可能遭受病毒的感染、黑客的入侵，這都可以給我們造成巨大的損失。本文主要介紹了信息系統(tǒng)所面臨的技術(shù)安全隱患，并提出了行之有效的解決方案。

關(guān)鍵字：信息系統(tǒng)信息安全身份認(rèn)證安全檢測

Abstract：

Along with the high-speed development of information industries, the multitudinous enterprise has established their own information system using the Internet to use each kind of information resource.But while we enjoy the information industries development to take to our convenient, we also faced the huge risk.Our system possibly suffers viral infection, hacker’s invasion;this all may create massive loss to us.This article mainly introduced the technical security hidden danger, which the information system faces, and proposed the effective solution.Keywords：Information system Information security

Status authentication Safe examination

一、目前信息系統(tǒng)技術(shù)安全的研究

1.企業(yè)信息安全現(xiàn)狀分析

隨著信息化進程的深入，企業(yè)信息安全己經(jīng)引起人們的重視，但依然存在不少問題。一是安全技術(shù)保障體系尚不完善，企業(yè)花了大量的金錢購買了信息安全設(shè)備，但是技術(shù)保障不成體系，達不到預(yù)想的目標(biāo):二是應(yīng)急反應(yīng)體系沒有經(jīng)?；?、制度化:三是企業(yè)信息安全的標(biāo)準(zhǔn)、制度建設(shè)滯后。

2003年5月至2004年5月，在7072家被調(diào)查單位中有4057家單位發(fā)生過信息網(wǎng)絡(luò)安全事件，占被調(diào)查總數(shù)的58%。調(diào)查結(jié)果表明，造成網(wǎng)絡(luò)安全事件發(fā)生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中，由于未修補或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的“%，登錄密碼過于簡單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%.對于網(wǎng)絡(luò)安全管理情況的調(diào)查:調(diào)查表明，近年來，使用單位對信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高，80%的被調(diào)查單位有專職或兼職的安全管理人員，12%的單位建立了安全組織，有2%的單位請信息安全服務(wù)企業(yè)提供專業(yè)化的安全服務(wù)。調(diào)查表明，認(rèn)為單位信息網(wǎng)絡(luò)安全防護能力“較高”和“一般”的比較多，分別占44%。但是，被調(diào)查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓(xùn)、安全經(jīng)費投入不足和安全產(chǎn)品不能滿足要求等問題，也說明目前安全管理水平和社會化服務(wù)的程度還比較低。

2.企業(yè)信息安全防范的任務(wù) 論文網(wǎng)在線

信息安全的任務(wù)是多方面的，根據(jù)當(dāng)前信息安全的現(xiàn)狀，制定信

息安全防范的任務(wù)主要是:

從安全技術(shù)上，進行全面的安全漏洞檢測和分析，針對檢測和分析的結(jié)果制定防范措施和完整的解決方案;正確配置防火墻、網(wǎng)絡(luò)防病毒軟件、入侵檢測系統(tǒng)、建立安全認(rèn)證系統(tǒng)等安全系統(tǒng)。從安全管理上，建立和完善安全管理規(guī)范和機制，切實加強和落實安全管理制度，增強安全防范意識。

信息安全防范要確保以下幾方面的安全。網(wǎng)絡(luò)安全:保障各種網(wǎng)絡(luò)資源(資源、實體、載體)穩(wěn)定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應(yīng)用的機密性(Confidentiality)、完整性(Integrity)、抗否認(rèn)性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、預(yù)防內(nèi)部犯罪。

二、計算機網(wǎng)絡(luò)中信息系統(tǒng)的安全防范措施

（一）網(wǎng)絡(luò)層安全措施

①防火墻技術(shù)

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡(luò)為甚。

防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)

設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全防火墻是網(wǎng)絡(luò)安全的屏障：一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強化網(wǎng)絡(luò)安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計等)配置在防火墻上。對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計：如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。防止內(nèi)部信息的外泄：通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。除了安全作用，有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

第二篇：計算機網(wǎng)絡(luò)中信息系統(tǒng)技術(shù)安全與防范

計算機網(wǎng)絡(luò)中信息系統(tǒng)技術(shù)安全與防范 摘要：

隨著信息產(chǎn)業(yè)的高速發(fā)展，眾多企業(yè)都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng)，以充分利用各類信息資源。但是我們在享受信息產(chǎn)業(yè)發(fā)展帶給我們的便利的同時，也面臨著巨大的風(fēng)險。我們的系統(tǒng)隨時可能遭受病毒的感染、黑客的入侵，這都可以給我們造成巨大的損失。本文主要介紹了信息系統(tǒng)所面臨的技術(shù)安全隱患，并提出了行之有效的解決方案。關(guān)鍵字：信息系統(tǒng)信息安全身份認(rèn)證安全檢測

Abstract：

Along with the high-speed development of information industries, the multitudinous enterprise has established their own information system using the Internet to use each kind of information

resource.But while we enjoy the information industries development to take to our convenient, we also faced the huge risk.Our system possibly suffers viral infection, hacker’s invasion;this all may create massive loss to us.This article mainly introduced the technical security hidden danger, which the information system faces, and proposed the effective solution.Keywords：Information systemInformation security

Status authenticationSafe examination

一、目前信息系統(tǒng)技術(shù)安全的研究

1.企業(yè)信息安全現(xiàn)狀分析

隨著信息化進程的深入，企業(yè)信息安全己經(jīng)引起人們的重視，但依然存在不少問題。一是安全技術(shù)保障體系尚不完善，企業(yè)花了大量的金錢購買了信息安全設(shè)備，但是技術(shù)保障不成體系，達不到預(yù)想的目標(biāo):二是應(yīng)急反應(yīng)體系沒有經(jīng)?；⒅贫然?三是企業(yè)信息安全的標(biāo)準(zhǔn)、制度建設(shè)滯后。

2003年5月至2004年5月，在7072家被調(diào)查單位中有4057家單位發(fā)生過信息網(wǎng)絡(luò)安全事件，占被調(diào)查總數(shù)的58%。調(diào)查結(jié)果表明，造成網(wǎng)絡(luò)安全事件發(fā)生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中，由于未修補或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的“%，登錄密碼過于簡單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%.對于網(wǎng)絡(luò)安全管理情況的調(diào)查:調(diào)查表明，近年來，使用單位對信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高，80%的被調(diào)查單位有專職或兼職的安全管理人員，12%的單位建立了安全組織，有2%的單位請信息安全服務(wù)企業(yè)提供專業(yè)化的安全服務(wù)。調(diào)查表明，認(rèn)為單位信息網(wǎng)絡(luò)安全防護能力“較高”和“一般”的比較多，分別占44%。但是，被調(diào)查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓(xùn)、安全經(jīng)費投入不足和安全產(chǎn)品不能滿足要求等問題，也說明目前安全管理水平和社會化服務(wù)的程度還比較低。

2.企業(yè)信息安全防范的任務(wù)

信息安全的任務(wù)是多方面的，根據(jù)當(dāng)前信息安全的現(xiàn)狀，制定信息安全防范的任務(wù)主要是:從安全技術(shù)上，進行全面的安全漏洞檢測和分析，針對檢測和分析的結(jié)果制定防范措施

和完整的解決方案;正確配置防火墻、網(wǎng)絡(luò)防病毒軟件、入侵檢測系統(tǒng)、建立安全認(rèn)證系統(tǒng)等安全系統(tǒng)。

從安全管理上，建立和完善安全管理規(guī)范和機制，切實加強和落實安全管理制度，增強安全防范意識。

信息安全防范要確保以下幾方面的安全。網(wǎng)絡(luò)安全:保障各種網(wǎng)絡(luò)資源(資源、實體、載體)穩(wěn)定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應(yīng)用的機密性(Confidentiality)、完整性(Integrity)、抗否認(rèn)性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、預(yù)防內(nèi)部犯罪。

二、計算機網(wǎng)絡(luò)中信息系統(tǒng)的安全防范措施

（一）網(wǎng)絡(luò)層安全措施

①防火墻技術(shù)

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡(luò)為甚。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

防火墻是網(wǎng)絡(luò)安全的屏障：一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強化網(wǎng)絡(luò)安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計等)配置在防火墻上。對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計：如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。防止內(nèi)部信息的外泄：通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。除了安全作用，有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

②入侵檢測技術(shù)

IETF 將一個入侵檢測系統(tǒng)分為四個組件：事件產(chǎn)生器(Event Generators)；事件分析器(Event Analyzers)；響應(yīng)單元(Response Units)和事件數(shù)據(jù)庫(Event Data Bases)。事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元則是對分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、改變文件屬性等強烈反應(yīng)，也可以只是簡單的報警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。

根據(jù)檢測對象的不同，入侵檢測系統(tǒng)可分為主機型和網(wǎng)絡(luò)型?；谥鳈C的監(jiān)測。主機型入侵檢測系統(tǒng)就是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其他手段(如監(jiān)督系統(tǒng)調(diào)用)從所在的主機收集信息進行分析。主機型入侵檢測系統(tǒng)保護的一般是所在的系統(tǒng)。這種系統(tǒng)經(jīng)常運行在被監(jiān)測的系統(tǒng)之上，用以監(jiān)測系統(tǒng)上正在運行的進程是否合法。最近出現(xiàn)的一種ID(Intrusion Detection)：位于操作系統(tǒng)的內(nèi)核之中并監(jiān)測系統(tǒng)的最底層行為。所有這些系統(tǒng)最近已經(jīng)可以被用于多種平臺。網(wǎng)絡(luò)型入侵檢測。它的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺機子的網(wǎng)卡設(shè)于混雜模式(Promise Mode)，對所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進行信息收集，并進行判斷。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護整個網(wǎng)段的任務(wù)。

對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。從技術(shù)上，入侵檢測分為兩類：一種基于標(biāo)志(C Signature-Based)，另一種基于異常情況

(Abnormally-Based)。

（二）服務(wù)器端安全措施 只有正確的安裝和設(shè)置操作系統(tǒng)，才能使其在安全方面發(fā)揮應(yīng)有的作用。下面以WIN2000 SERVER 為例。

①正確地分區(qū)和分配邏輯盤。

微軟的IIS經(jīng)常有泄漏源碼/溢出的漏洞，如果把系統(tǒng)和IIS放在同一個驅(qū)動器會導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠程獲取ADMIN。本系統(tǒng)的配置是建立三個邏輯驅(qū)動器，C盤20G，用來裝系統(tǒng)和重要的日志文件，D盤20G放IIS,E盤20G放FTP，這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統(tǒng)目錄和系統(tǒng)文件。因為，IIS和FTP是對外服務(wù)的，比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。②正確地選擇安裝順序。

一般的人可能對安裝順序不太重視，認(rèn)為只要安裝好了，怎么裝都可以的。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機。Win2000在安裝中有幾個順序是一定要注意的：

首先，何時接入網(wǎng)絡(luò)：Win2000在安裝時有一個漏洞，在你輸入Administrator密碼后，系統(tǒng)就建立了ADMIN$的共享，但是并沒有用你剛剛輸入的密碼來保護它這種情況一直持續(xù)到你再次啟動后，在此期間，任何人都可以通過ADMIN$進入你的機器；同時，只要安裝一完成，各種服務(wù)就會自動運行，而這時的服務(wù)器是滿身漏洞，非常容易進入的，因此，在完全安裝并配置好Win2000 SERVER之前，一定不要把主機接入網(wǎng)絡(luò)。

其次，補丁的安裝：補丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后，因為補丁程序往往要替換/修改某些系統(tǒng)文件，如果先安裝補丁再安裝應(yīng)用程序有可能導(dǎo)致補丁不能起到應(yīng)有的效果，例如： IIS的HotFix就要求每次更改IIS的配置都需要安裝，盡管很麻煩，卻很必要。

（三）安全配置

①端口：：端口是計算機和外部網(wǎng)絡(luò)相連的邏輯接口，從安全的角度來看，僅打開你需要使用的端口會比較安全，配置的方法是在網(wǎng)卡屬性——TCP/IP——高級——選項

——TCP/IP篩選中啟用TCP/IP篩選，不過對于Win2000的端口過濾來說，有一個不好的特

性：只能規(guī)定開哪些端口，不能規(guī)定關(guān)閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。

②IIS： IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認(rèn)安裝又實在不敢恭維，所以IIS的配置是我們的重點，所以在本系統(tǒng)的004km.cnmunications Press, PP.86-94

[5]楊兵.網(wǎng)絡(luò)系統(tǒng)安全技術(shù)研究及其在寶鋼設(shè)備采購管理系統(tǒng)中的應(yīng)用：（學(xué)位論文）.遼寧：東北大學(xué)，2002

[6]劉廣良.建設(shè)銀行計算機網(wǎng)絡(luò)信息系統(tǒng)安全管理策略研究：（學(xué)位論文）.湖南：湖南大學(xué).2001

[7] Celeste Robinson, Alan Simpson.Mastering Access2000.電子工業(yè)出版社，2002

[8]丁霞軍.基于ASP的管理信息系統(tǒng)開發(fā)及其安全性研究.（學(xué)位論文）.安徽：安徽理工大學(xué).2005

第三篇：計算機網(wǎng)絡(luò)的安全與保密技術(shù)

計算機網(wǎng)絡(luò)的安全與保密技術(shù)

姓名：

班級：

學(xué)號： 摘要：隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展, 網(wǎng)絡(luò)的開放性、共享性、互連程度不斷擴大, 網(wǎng)絡(luò)的重要性和對社會的影響越來越大, 網(wǎng)絡(luò)信息安全與保密問題顯得越來越重要

關(guān)鍵詞：網(wǎng)絡(luò)安全

保密技術(shù)

互聯(lián)網(wǎng)

互聯(lián)網(wǎng)與我們的生活息息相關(guān)，人們可以在網(wǎng)絡(luò)允許的技術(shù)范圍內(nèi)，利用網(wǎng)絡(luò)資源從事各種信息活動。在科學(xué)研究、技術(shù)開發(fā)、工農(nóng)業(yè)、電子商務(wù)、教學(xué)、醫(yī)療保健、服務(wù)咨詢、文化娛樂等幾乎一切領(lǐng)域的信息處理和交換都可以利用網(wǎng)絡(luò)來實現(xiàn)，從而大大地提高人類活動的質(zhì)量和效率。但如同許多新技術(shù)的應(yīng)用一樣，網(wǎng)絡(luò)技術(shù)也不啻是一柄人類為自己鍛造的雙刃劍，善意的應(yīng)用將造福人類，惡意的應(yīng)用則將會給社會帶來危害。

1、計算機網(wǎng)絡(luò)安全與保密的概念

計算機網(wǎng)絡(luò)的安全與保密的含義主要包括計算機網(wǎng)絡(luò)系統(tǒng)的安全與數(shù)據(jù)保護和信息保密兩個方面。

計算機系統(tǒng)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠的運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全。從廣義上來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都與網(wǎng)絡(luò)安全有關(guān)聯(lián)。

數(shù)據(jù)保護和信息保密是對信息系統(tǒng)中的信息資源的存取、修改、擴散和其它使用權(quán)限的控制。威脅計算機網(wǎng)絡(luò)的安全與保密的因素很多, 歸結(jié)起來, 針對網(wǎng)絡(luò)安全的威脅主要有人為的無意失誤、人為的惡意攻擊

2、計算機網(wǎng)絡(luò)安全的現(xiàn)狀

隨著計算機網(wǎng)絡(luò)的開放性、共享性及互聯(lián)程度的擴大, 特別是Internet 的不斷延伸, 計算機網(wǎng)絡(luò)對社會的影響和重要性越來越大, 諸如電子商務(wù)、網(wǎng)上銀行之類的網(wǎng)絡(luò)新業(yè)務(wù)不斷出現(xiàn), 政府網(wǎng)、金融網(wǎng)、軍用網(wǎng)、企業(yè)網(wǎng)等各種專用網(wǎng)也相繼出現(xiàn), 目前的計算機網(wǎng)絡(luò)大多數(shù)在建立之初都忽視了安全問題, 即使普通使用的TCP/ IP 協(xié)議在建立之初也沒有考慮安全問題, 隨之而來的網(wǎng)絡(luò)信息安全與保密問題越來越嚴(yán)峻, 國內(nèi)外幾乎每天都有各種各樣的”黑客”入侵事件發(fā)生, 商業(yè)信息被竊取、銀行賬戶被改寫、政府網(wǎng)站遭攻擊等等, 據(jù)統(tǒng)計, 黑客入侵事件每月以260%以上的速度在增加。面對嚴(yán)重危害網(wǎng)絡(luò)信息系統(tǒng)的種種威脅, 各國政府和企業(yè)都已經(jīng)開始高度重視網(wǎng)絡(luò)信息的安全與保密工作。

3、計算機網(wǎng)絡(luò)安全的威脅

互聯(lián)網(wǎng)不安全的因素，一方面是來自于其內(nèi)在的特點——先天不足。另一方面是缺乏系統(tǒng)安全的標(biāo)準(zhǔn)。所以才會在各個方面存在威脅。3.1 惡意攻擊 人為的惡意攻擊是有目的的破壞。惡意攻擊可以分為主動攻擊和被動攻擊。主動攻擊是指以各種方式有選擇地破壞信息（如修改、刪除、偽造、添加、重放、亂序、冒充、病毒等）。被動攻擊是指在不干擾網(wǎng)絡(luò)信息系統(tǒng)正常工作的情況下，進行竊取、截獲、破譯和業(yè)務(wù)流量分析及電磁泄露等。由于人為惡意攻擊有明顯企圖，其危害性相當(dāng)大，給國家和企業(yè)安全、知識產(chǎn)權(quán)和個人信息帶來巨大威脅。3.2 安全缺陷

網(wǎng)絡(luò)信息系統(tǒng)是計算機技術(shù)和通信技術(shù)的結(jié)合。計算機系統(tǒng)的安全缺陷和通信鏈路的安全缺陷，構(gòu)成了網(wǎng)絡(luò)信息系統(tǒng)的潛在安全缺陷。計算機硬件資源易受自然災(zāi)害和人為破壞；軟件資源和數(shù)據(jù)信息易受計算機病毒的侵?jǐn)_，非授權(quán)用戶的復(fù)制、篡改和毀壞。計算機硬件工作時的電磁輻射以及軟硬件的自然失效、外界電磁干擾等均會影響計算機的正常工作。采用主動攻擊和被動攻擊可以竊聽通信鏈路的信息，并非法進入計算機網(wǎng)絡(luò)獲取有關(guān)敏感性重要信息。3.3 軟件漏洞

網(wǎng)絡(luò)信息系統(tǒng)由硬件和軟件組成。由于軟件程序的復(fù)雜性和編程的多樣性，在網(wǎng)絡(luò)信息系統(tǒng)的軟件中很容易有意或無意地留下一些不易被發(fā)現(xiàn)的安全漏洞，軟件漏洞顯然會影響網(wǎng)絡(luò)信息的安全與保密。

4、計算機網(wǎng)絡(luò)安全技術(shù)

面對這些威脅，現(xiàn)在已經(jīng)有許多網(wǎng)絡(luò)安全系統(tǒng)可以選擇，可以將風(fēng)險降到最低程度。4.1 防火墻

防火墻不是萬能的，但對于網(wǎng)絡(luò)來說是必不可少的。它是位于兩個網(wǎng)絡(luò)之間的屏障，一邊是內(nèi)部網(wǎng)絡(luò)（可信賴的網(wǎng)絡(luò)），另一邊是外部網(wǎng)絡(luò)（不可信賴的網(wǎng)絡(luò)）。防火墻按照系統(tǒng)管理員預(yù)先定義好是規(guī)則來控制數(shù)據(jù)包的進出。

但同時防火墻自身存在著局限性, 如果一個被防火墻保護的站點允許不受限制的調(diào)制解調(diào)器訪問, 入侵者就能夠有效地繞過防火墻.防火墻一般不提供對內(nèi)部的保護, 什么手段都不是萬能的, 只有提高人們安全保密意識才是最終解決問題的關(guān)鍵所在。4.2 密碼技術(shù)

加密是通過對信息的重新組合，使得只有收發(fā)方才能解碼并還原信息的一種手段。傳統(tǒng)加密的加密系統(tǒng)是以密匙為基礎(chǔ)的，這是一種對稱加密，即用戶使用同一密匙加密和解密。4.3 身份認(rèn)證

計算機系統(tǒng)安全機制的主要目標(biāo)是控制對信息的訪問, 這也是預(yù)防和控制犯罪的主要途徑。當(dāng)前用于身份識別的技術(shù)方法主要有四種, 一是利用用戶身份、口令、密鑰等技術(shù)措施進行身份識別;二是利用用戶的體貌特征、指紋、簽字等技術(shù)措施進行身份識別;三是利用用戶持有的證件, 如光卡、磁卡等進行身份識別;四是多種方法交互使用進行身份識別。

其中, 口令識別是目前廣泛采取的技術(shù)措施, 這種控制機制的優(yōu)點是簡單易掌握, 能減緩受到攻擊的速度, 但不能較好地解決非法用戶系統(tǒng)的非法訪問。4.4 訪問控制

身份識別的目的是防止人侵者非法侵入系統(tǒng), 但對系統(tǒng)內(nèi)部的合法用戶卻無能力。

目前對系統(tǒng)內(nèi)部用戶非授權(quán)的訪問控制主要有兩種類型, 任意訪問控制和強制訪問控制。任意訪問控制, 指用戶可以隨意在系統(tǒng)中規(guī)定訪問對象。任意訪問控制的優(yōu)點是方便用戶, 成本小, 缺點是安全系數(shù)小。強制訪問控制可以通過無法回避的訪問限制來防止對系統(tǒng)的非法入侵, 缺點是靈活性小、安全費用大, 一般對安全性要求較高的系統(tǒng), 通常采用任意訪問控制和強制訪問控制相結(jié)合的方法, 安全要求較低的信息系統(tǒng)采用作任意訪問控制, 而對信息密級較高的系統(tǒng)則必須采用強制訪問控制。4.5 數(shù)字簽名

數(shù)字簽名技術(shù)是解決網(wǎng)絡(luò)通信中發(fā)生否認(rèn)、偽造、冒充、篡改等問題的安全技術(shù)。主要包括接收者能夠核實發(fā)送者對報文的簽名、發(fā)送者事后不能抵賴對報文簽名、接收者不能偽造對報文的簽名等方面。實現(xiàn)數(shù)字簽名的方法很多, 比如利用公開密鑰密碼制實現(xiàn)的數(shù)字簽名方法等。4.6 內(nèi)容檢查

即使有了防火墻、身份認(rèn)證和加密，人們?nèi)該?dān)心遭到病毒的攻擊。有些病毒通過E-mail或者用戶下載的一些程序進行傳播，帶病毒的程序被激活后，又可能會自動下載別的程序。所以可以通過下載一些殺毒軟件對自己需要下載的軟件進行下載前后的掃描，避免下載物中攜帶病毒。4.7 入侵檢測

入侵檢測技術(shù)由于近年來黑客盛行而受到極大重視。入侵檢測技術(shù)的基本原理是,首先收集系統(tǒng)的脆弱性指標(biāo)建立檢測庫, 再以此檢測庫檢測發(fā)現(xiàn)其它系統(tǒng)中是否有已知的類似脆弱性;若發(fā)現(xiàn)新的脆弱性, 再反過來更新原有的檢測庫。如此往復(fù), 不斷豐富檢測庫, 及時發(fā)現(xiàn)系統(tǒng)脆弱性。入侵檢測包括通過破譯口令或使用軟件非授權(quán)侵入系統(tǒng)、合法用戶的信息外泄。冒充他人賬戶的闖入等多種內(nèi)容。

4.8 風(fēng)險分析

風(fēng)險分析是安全管理的重要部分, 主要包括兩個方面內(nèi)容, 靜態(tài)分析和動態(tài)分析。靜態(tài)分析, 即系統(tǒng)設(shè)計前的風(fēng)險分析和系統(tǒng)試運行前的風(fēng)險分析;動態(tài)分析, 即系統(tǒng)運行期間的風(fēng)險分析和系統(tǒng)運行后的風(fēng)險分析。系統(tǒng)設(shè)計前的風(fēng)險分析旨在通過分析系統(tǒng)固有的脆弱性, 發(fā)現(xiàn)系統(tǒng)設(shè)計前潛在的安全隱患;系統(tǒng)試運行前的風(fēng)險分析, 旨在根據(jù)系統(tǒng)試運行期間運行狀態(tài), 發(fā)現(xiàn)系統(tǒng)設(shè)計的安全漏洞;系統(tǒng)運行期間風(fēng)險分析旨在根據(jù)系統(tǒng)運行的記錄, 發(fā)現(xiàn)系統(tǒng)運行期間的安全漏洞;系統(tǒng)運行后的風(fēng)險分析, 旨在通過分析運行記錄,發(fā)現(xiàn)系統(tǒng)的安全隱患, 提出改進的分析報告。4.9 審計跟蹤

審計跟蹤是運用操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)提供的審計模塊的功能或其它專門程序, 對系統(tǒng)的使用情況建立日志記錄, 以便實時地監(jiān)控、報警或事后分析、統(tǒng)計、報告, 是一種通過事后追查來保證系統(tǒng)安全的技術(shù)手段。從系統(tǒng)部件功能看, 可分為操作系統(tǒng)審計跟蹤、數(shù)據(jù)庫審計跟蹤、網(wǎng)絡(luò)審計跟蹤三種;從角色要求看, 可分為系統(tǒng)操作審計、服務(wù)審計、通信審計、故障審計和事件審計等五類;從安全強度要求看, 可分為自主型安全控制審計和強制性安全控制審計等兩類。審計跟蹤技術(shù)對打擊和防范計算機犯罪具有重要意義。

5、加強網(wǎng)絡(luò)安全的措施

要實現(xiàn)網(wǎng)絡(luò)的安全和保密還需不斷的改進技術(shù)外，我們還要做到以下幾點： 5.1 重視安全檢測與評估 入網(wǎng)前的檢測和評估是保障網(wǎng)絡(luò)信息安全與保密的重要措施, 它能夠把不符合要求的設(shè)備或系統(tǒng)拒之門外。但是, 更為重要的是實際網(wǎng)絡(luò)運行中的檢測與評估。

5.2 建立完善的安全體系結(jié)構(gòu)

要全面綜合地設(shè)計網(wǎng)絡(luò)的安全體系, 包括縝密的網(wǎng)絡(luò)安全拓?fù)湓O(shè)計、應(yīng)用平臺的選型、安全防護產(chǎn)品的選型、強有力的入侵檢測(IDS)和漏洞掃描器、應(yīng)急措施的制定、完善的人員管理制度、最壞情況的預(yù)先估計。

完善的安全體系結(jié)構(gòu)可以讓真?zhèn)€互聯(lián)網(wǎng)更加安全。5.3 制訂嚴(yán)格的安全管理措施

安全管理既要保證網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)資源不被非法使用, 又要保證網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的訪問。5.4 強化安全標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是一種多學(xué)科、綜合性、規(guī)范性很強的標(biāo)準(zhǔn), 其目的在于保證網(wǎng)絡(luò)信息系統(tǒng)的安全運行, 保證用戶和設(shè)備操作人員的人身安全。5.5 完善法律法規(guī)

國家要重視網(wǎng)絡(luò)安全，并制定相關(guān)網(wǎng)絡(luò)安全的法律、法規(guī)來懲治一些網(wǎng)絡(luò)上的不法份子。強化思想教育、加強制度落實是網(wǎng)絡(luò)安全管理工作的基礎(chǔ)。

6、結(jié)束語

總之, 隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展, 網(wǎng)絡(luò)信息管理系統(tǒng)也越來越完善, 但與之相反的是黑客的技術(shù)也越來越高明, 網(wǎng)絡(luò)信息安全與保密仍然是一個很重要的問題。提高網(wǎng)絡(luò)信息安全與保密技術(shù)已不能從根本上解決問題, 需要社會各方面對之重視并相互配合進行綜合治理, 才能保證網(wǎng)絡(luò)信息安全與保密。同時，我們自身也要在思想上加深對網(wǎng)路偶安全的重視。

參考文獻：

[1] 胡建偉，馬建峰.網(wǎng)路安全與保密.西安電子科技大學(xué)出版社，2003 [2] 楊義先, 等.網(wǎng)絡(luò)信息安全與保密.北京: 北京郵電大學(xué)出版社, 1999 [3] 賴溪松, 韓亮.計算機密碼學(xué)及其應(yīng)用.北京:國防工業(yè)出版社, 2001.[4] 關(guān)啟明.計算機網(wǎng)絡(luò)安全與保密.文章編號：1671-2829（2003）02-0084-06 [5] 張娟.網(wǎng)絡(luò)安全與保密綜述.文章編號：1008-7354（2003）01-0053-03 [7] 黃慧民，酒海峰.論網(wǎng)絡(luò)信息安全與保密.文章編號：1008-3944（2002）02-0022-02 [8] 白青松.淺談計算機網(wǎng)絡(luò)系統(tǒng)安全與保密.文章編號：1673-260X（2007）02-0032-02

第四篇：淺析計算機網(wǎng)絡(luò)安全問題與防范策略

淺析計算機網(wǎng)絡(luò)安全與防范措施

關(guān)鍵詞： 計算機網(wǎng)絡(luò) 安全 防范技術(shù)

摘要：隨著計算機科學(xué)技術(shù)和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，使得計算機系統(tǒng)功能與網(wǎng)絡(luò)體系變得日漸復(fù)雜與強大。但是計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，在給人們工作和生活提供方便的同時，也對人們構(gòu)成日益嚴(yán)重的網(wǎng)絡(luò)網(wǎng)絡(luò)安全威脅。數(shù)據(jù)竊取、黑客侵襲、病毒感染、內(nèi)部泄密等網(wǎng)絡(luò)攻擊問題無時無刻在困擾著用戶的正常使用。因此，如何提高計算機網(wǎng)絡(luò)的防范能力，增強網(wǎng)絡(luò)的安全措施，已成為當(dāng)前急需解決的問題。

一、計算機網(wǎng)絡(luò)安全的基本概念。

計算機網(wǎng)絡(luò)安全是指“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改、泄漏，使系統(tǒng)能連續(xù)、可靠、正常運行、網(wǎng)絡(luò)服務(wù)不中斷，或因破壞后還能迅速恢復(fù)正常使用的安全過程。計算機網(wǎng)絡(luò)安全包括兩個方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護，免于破壞、丟失等。邏輯安全包括信息的可靠性、保密性、真實性、完整性及可用性。本質(zhì)上，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)中信息的安全。

二、計算機網(wǎng)絡(luò)安全面臨的威脅

目前，隨著網(wǎng)絡(luò)應(yīng)用的深入以及技術(shù)頻繁升級，非法訪問、惡意攻擊等安全威脅也不斷出新。各種潛在的不安全因素使網(wǎng)絡(luò)每天都面臨著信息安全方面的威脅。主要面現(xiàn)為：

１.系統(tǒng)漏洞威脅

網(wǎng)絡(luò)系統(tǒng)本身存在的安全問題主要來自系統(tǒng)漏洞帶來的威脅，且是不可估量的。系統(tǒng)漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計上無意中造成的缺陷或錯誤，形成一個不被注意的通道。許多時候，在運行系統(tǒng)或程序這些漏洞被不法者利用，通過網(wǎng)絡(luò)植入木馬、病毒等方式來攻擊或控制整個電腦，竊取電腦中的重要資料和信息，甚至破壞系統(tǒng)。在不同種類的軟、硬件設(shè)備，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會存在各自不同的安全漏洞問題。

２.“黑客”的攻擊

當(dāng)前黑客是影響網(wǎng)絡(luò)安全的最主要因素之一，因為它對網(wǎng)絡(luò)構(gòu)成威脅，造成破壞。黑客是指：計算機網(wǎng)絡(luò)行家中，熱衷于神秘而深奧的操作系統(tǒng)之類的程序，又愛移花接木、拼湊或修改程序而隨意攻擊的人。黑客攻擊，是指黑客利用系統(tǒng)漏洞和非常規(guī)手段，進行非授權(quán)的訪問行為和非法運行系統(tǒng)或非法操作數(shù)據(jù)。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。

３.計算機病毒的攻擊

計算機病毒是指編制或在計算機程序中插入的破壞計算機功能或毀壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。由于計算機病毒具有隱蔽性、傳染性、潛伏性、破壞性、可觸發(fā)性、針對性、衍生性的特點。一旦計算機感染上病毒后，輕者會使計算機速度變慢，系統(tǒng)性能下降；重者能破壞系統(tǒng)的正常運行甚至還可以損失硬件，毀掉系統(tǒng)內(nèi)部數(shù)據(jù)，格式化磁盤和分區(qū)，甚至導(dǎo)致整個網(wǎng)絡(luò)癱瘓。

４.網(wǎng)絡(luò)設(shè)備故障問題。

網(wǎng)絡(luò)中的設(shè)備包括計算機、網(wǎng)絡(luò)通信設(shè)備、存儲設(shè)備、傳輸設(shè)備、防雷系統(tǒng)、抗電磁干擾系統(tǒng)、網(wǎng)絡(luò)環(huán)境都是網(wǎng)絡(luò)安全的重要保障，每個環(huán)節(jié)設(shè)備出現(xiàn)問題，都會造成網(wǎng)絡(luò)故障。所以定期和不定期檢測設(shè)備、使用先進的網(wǎng)絡(luò)設(shè)備和產(chǎn)品是網(wǎng)絡(luò)安全不可忽視的問題。

５.管理制度的問題

網(wǎng)絡(luò)系統(tǒng)的正常運行離不開管理人員的管理。由于對管理措施不當(dāng)，會造成設(shè)備的損壞，保密信息的人為泄露等，因而這些失誤人為的因素是主要的。如果管理不嚴(yán)格，網(wǎng)絡(luò)安全意識不強，設(shè)置的口令過于簡單，重要機密數(shù)據(jù)不加密，數(shù)據(jù)備份不及時，用戶級別權(quán)限劃分不明確或根本無級別限制，就容易導(dǎo)致病毒、黑客和非法受限用戶入侵網(wǎng)絡(luò)系統(tǒng)，讓數(shù)據(jù)泄露、修改、刪除，甚至使系統(tǒng)崩潰?；蛘邔⒆约旱目诹铍S意告訴別人或者無意中透露給他人等都會對網(wǎng)絡(luò)安全帶來威脅?；蚴牵袟l件接觸計算機信息網(wǎng)絡(luò)系統(tǒng)的工作人員為了獲取一定的利益故意泄露保密系統(tǒng)的文件和資料和對網(wǎng)絡(luò)安全進行破壞的行為。

三、計算機網(wǎng)絡(luò)安全的防范技術(shù)

盡管計算機網(wǎng)絡(luò)信息安全受到威脅，但是采取恰當(dāng)?shù)姆雷o措施也能有效的保護網(wǎng)絡(luò)信息的安全。

１.入侵防范技術(shù)

入侵檢測技術(shù)只能對網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)進行監(jiān)視，檢測發(fā)現(xiàn)各種攻擊企圖、攻擊行為或攻擊結(jié)果，無法有效的保護網(wǎng)絡(luò)被攻擊破壞。入侵防范軟件重在預(yù)防，能夠?qū)?yīng)用層滲透，對緩沖區(qū)溢出、木馬、后門、SQL注入、XSS進行識別攔截。入侵防范技術(shù)的定義是哪些行為是正當(dāng)?shù)?，哪些行為是可疑的，這樣一旦企圖作出超乎預(yù)期行為范圍的舉動，入侵防范技術(shù)會先發(fā)制人地削除不當(dāng)?shù)南到y(tǒng)行為，一些高度結(jié)構(gòu)化的入侵預(yù)防系統(tǒng)還能提供預(yù)先設(shè)定的規(guī)則，主動地加強桌面系統(tǒng)和服務(wù)器的安全，防止受到特征掃描的技術(shù)所無法實現(xiàn)的網(wǎng)絡(luò)攻擊的破壞。

２.病毒防范技術(shù)

在網(wǎng)絡(luò)環(huán)境下，病毒傳播的速度非?？欤嬎銠C病毒不斷升級，極大威脅到網(wǎng)絡(luò)的安全。現(xiàn)在我們普遍使用防病毒軟件進行病毒的防范，常用的防病毒軟件包括單機防病毒軟件和網(wǎng)絡(luò)防病毒軟件兩大類。單機病毒可以采取傳統(tǒng)的防治病毒技術(shù)，以及采用功能較強的反病毒軟件，基本上可保障計算機系統(tǒng)不受病毒侵害。在結(jié)構(gòu)形式多樣，有局域網(wǎng)、內(nèi)網(wǎng)和外網(wǎng)、公網(wǎng)和涉密網(wǎng)這樣的網(wǎng)絡(luò)中，必須有面向獨立網(wǎng)絡(luò)全方位的防病毒產(chǎn)品才能保證網(wǎng)絡(luò)系統(tǒng)良好運行。比如計算機網(wǎng)絡(luò)系統(tǒng)上安裝網(wǎng)絡(luò)病毒防治服務(wù)器，在內(nèi)部網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)病毒防治軟件。對于網(wǎng)絡(luò)防病毒軟件注重網(wǎng)絡(luò)防病毒，病毒防范重點應(yīng)在因特網(wǎng)的接入口，以及外網(wǎng)下的服務(wù)器和各獨立內(nèi)網(wǎng)中心服務(wù)器等。

３.防火墻技術(shù)

防火墻技術(shù)是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻是網(wǎng)絡(luò)安全的重要屏障，是指在網(wǎng)絡(luò)安全邊界控制中，用來陰止從處網(wǎng)想進入給定網(wǎng)絡(luò)的非法訪問對象的安全設(shè)備。防火墻是軟硬件的安全組合體，一邊與內(nèi)部網(wǎng)相連另一邊與因特網(wǎng)相連，可根據(jù)安全策略需要的各種控制規(guī)，阻止未經(jīng)受、授權(quán)的來自因特網(wǎng)或?qū)σ蛱鼐W(wǎng)的訪問，或阻止某些通過訪問對象連接的地址或傳輸?shù)臄?shù)據(jù)包，并以安全管理提供詳細(xì)的系統(tǒng)活動的記錄。比如，為保證網(wǎng)絡(luò)中計算機的正常運行，可選用網(wǎng)絡(luò)級防火墻來防止非法入侵，此類防火墻有分組過濾器和授權(quán)服務(wù)器，前者可檢查所有流入本網(wǎng)的信息并拒絕不符合實現(xiàn)制定好的一套準(zhǔn)則的數(shù)據(jù)，后者可檢查用戶的登錄是否合法，這樣最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。

４.數(shù)據(jù)加密技術(shù)

要保證數(shù)據(jù)信息及在網(wǎng)絡(luò)傳輸中的保密信息不提供給非授權(quán)用戶進行更改、竊取、刪除等，應(yīng)該對數(shù)據(jù)信息實行加密技術(shù)，即使數(shù)據(jù)被人截獲，沒有密鑰加密數(shù)據(jù)也不能還原為原數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)的安全從而得到保證。數(shù)據(jù)加密技術(shù)是一種限制對網(wǎng)絡(luò)上傳輸數(shù)據(jù)的訪問權(quán)的技術(shù)主要是通過對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M行加密鑰匙及加密函數(shù)轉(zhuǎn)換，變成無意義的密文，只有在指定的用戶或網(wǎng)絡(luò)下，接收方方可將此密文經(jīng)過解密函數(shù)、解密鑰匙還原成明文卻原數(shù)據(jù)。加密的基本功能包括：防止不速之客查看機密的數(shù)據(jù)文件、防止機密數(shù)據(jù)被泄露或篡

改、防止特權(quán)用戶(如系統(tǒng)管理員)查看私人數(shù)據(jù)文件、使入侵者不能輕易地查找一個系統(tǒng)的文件。數(shù)據(jù)加密可在網(wǎng)絡(luò)OSI七層協(xié)議的多層上實現(xiàn)、所以從加密技術(shù)應(yīng)用的邏輯位置看，有三種方式：鏈路加密、節(jié)點加密、端對端加密。

5.漏洞掃描技術(shù)

漏洞掃描技術(shù)是利用網(wǎng)絡(luò)系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進行網(wǎng)絡(luò)安全檢測，以查找出安全隱患和系統(tǒng)漏洞，并采取相應(yīng)防范措施，從而降低系統(tǒng)的安全風(fēng)險而發(fā)展起來的一種安全技術(shù)。利用漏洞掃描技術(shù)，可以對局域網(wǎng)、WEB站點、主機操作系統(tǒng)、系統(tǒng)服務(wù)以及防火墻系統(tǒng)的漏洞進行掃描，可以檢查出正在運行的網(wǎng)絡(luò)系統(tǒng)中存在的不安全網(wǎng)絡(luò)服務(wù)，在操作系統(tǒng)上存在的可能會導(dǎo)致遭受緩沖區(qū)溢出攻擊或者拒絕服務(wù)攻擊的安全漏洞，還可以檢查出主機系統(tǒng)中是否被安裝了竊聽程序，防火墻系統(tǒng)是否存在安全漏洞和配置錯誤。漏洞掃描的結(jié)果實際就是對系統(tǒng)安全性能的評估，定時運行漏洞掃描技術(shù)，是保證網(wǎng)絡(luò)安全不可缺少的手段。

6.其他應(yīng)對策略

建立健全網(wǎng)絡(luò)安全管理制度。只要有網(wǎng)絡(luò)存在，就不可避免有網(wǎng)絡(luò)安全問題的發(fā)生，為了把網(wǎng)絡(luò)安全問題降到最低，就要建立健全網(wǎng)絡(luò)安全管理制度，強化網(wǎng)絡(luò)管理人員和使用人員的安全防范意識，嚴(yán)格操作程序，運用最先進的工具和技術(shù)，盡可能把不安全的因素降到最低。此外，還要不斷加強網(wǎng)絡(luò)安全技術(shù)建設(shè)，加強計算機信息網(wǎng)絡(luò)的安全規(guī)范化管理，才能使計算機網(wǎng)絡(luò)的安全性得到保障，最大限度保障廣大網(wǎng)絡(luò)用戶的利益。最后，作為信息安全的重要內(nèi)容——數(shù)據(jù)備份，數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)是保護數(shù)據(jù)的最后手段，也是防止主動型信息攻擊的最后一道防線。

四、結(jié)語

總之，由于隨著計算機網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和進步，網(wǎng)絡(luò)經(jīng)常受到嚴(yán)重的安全攻擊與潛在威脅，采取強有力的安全防范，對于保障網(wǎng)絡(luò)的安全性將變得十分重要。因此，我們加強防范意識，建立嚴(yán)密的安全防范體系，采用先進的技術(shù)和產(chǎn)品，構(gòu)造全方位的防范策略機制；同時，也要樹立安全意識，建立健全網(wǎng)絡(luò)安全管理制度，確保網(wǎng)絡(luò)系統(tǒng)能在理想狀態(tài)下運行。

參考文獻：劉學(xué)輝.計算機網(wǎng)絡(luò)安全的威脅因素肪防范技術(shù).中國科技信息.2007(9)

張森.淺談網(wǎng)絡(luò)安全面臨的威脅因素.科技園向?qū)?2010(34)

宋華平.計算機網(wǎng)絡(luò)安全與防范[J].機電信息.2010(12).孫會儒.淺談計算機網(wǎng)絡(luò)安全問題及應(yīng)對策略.電腦知識與技術(shù).2011(22)

第五篇：計算機網(wǎng)絡(luò)與防火墻技術(shù)論文

計算機網(wǎng)絡(luò)安全與防火墻技術(shù)

張帥

計算機學(xué)院計算機科學(xué)與技術(shù)(師范)專業(yè)06級 指導(dǎo)教師：蒲靜

摘要:本文由計算機網(wǎng)絡(luò)安全問題出發(fā)，分析了網(wǎng)絡(luò)安全面臨的主要威脅，及保護網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)，提出了防火墻是計算機網(wǎng)絡(luò)安全體系的核心的觀點，并著重介紹了防火墻的相關(guān)技術(shù)。同時，說明了防火墻并不是萬能的，指出了防火墻技術(shù)的缺陷，并就現(xiàn)今防火墻技術(shù)的現(xiàn)狀，提出未來防火墻技術(shù)的發(fā)展設(shè)想。關(guān)鍵詞：計算機網(wǎng)絡(luò)；安全；關(guān)鍵技術(shù)；缺陷；防火墻

Computer-network Security and Firewall Technology

Zhang Shuai Computer College Grade 06 Instructor:Pu Jing Abstract: This article by a computer network security issues, analyzes network security major threats, and protect the network security key technologies.Proposed computer network firewall security system is the core idea, and highlights the firewall related technologies.At the same time, shows the firewall is not a panacea, points out the deficiencies in firewall technology, and on the current status of firewall technology, that future firewall technology's development.Key words： computer-network;security;key-technology;deficiencies;firewall 1

目錄

中文摘要····························································1 英文摘要····························································1 目錄································································2 1 緒論······························································3 2 計算機網(wǎng)絡(luò)安全的主要問題··········································3 2.1 網(wǎng)絡(luò)安全的定義················································3 2.2 網(wǎng)絡(luò)安全面臨的主要威脅········································3 2.2.1 計算機病毒的侵襲···········································3 2.2.2 黑客侵襲···················································3 2.2.3 拒絕服務(wù)攻擊···············································3 2 2.3 實現(xiàn)計算機安全的關(guān)鍵技術(shù)···································4 2.3.1 數(shù)據(jù)加密···················································4 2.3.2 認(rèn)證·······················································4 2.3.3 入侵檢測技術(shù)···············································4 2.3.4 防病毒技術(shù)·················································4 2.3.5 文件系統(tǒng)安全···············································4 2.3.6 防火墻技術(shù)·················································4 3 防火墻概述························································4 3.1 防火墻概念····················································4 3.2 防火墻的主要功能··············································5 3.2.1 強化網(wǎng)絡(luò)安全策略···········································5 3.2.2 對輸入進行篩選·············································5 3.2.3 防止內(nèi)部信息的外泄·········································5 3.2.4 限制內(nèi)部用戶活動···········································5 3.2.5 網(wǎng)絡(luò)地址轉(zhuǎn)換···············································5 3.2.6 對網(wǎng)絡(luò)使用情況進行記錄監(jiān)控·································6 3.3 防火墻的原理及分類············································6

3.3.1 包過濾防火墻···············································6 3.3.2 應(yīng)用代理防火墻·············································6

3.3.3 狀態(tài)檢測防火墻·············································6

3.4 防火墻的主要技術(shù)優(yōu)缺點分析····································6

3.4.1 包過濾技術(shù)·················································6 3.4.2 應(yīng)用代理技術(shù)··············································7 3.4.3 狀態(tài)檢測技術(shù)···············································7 4 防火墻的缺陷及未來發(fā)展趨勢·······································7 4.1 防火墻的十大缺陷··············································7 4.2 關(guān)于防火墻未來發(fā)展的幾點設(shè)想··································8 結(jié)束語······························································8 參考文獻····························································8 致謝································································9 緒論

計算機技術(shù)的應(yīng)用與發(fā)展，帶動并促進了信息技術(shù)的變革，計算機與信息技術(shù)以其廣泛的滲透力和罕見的親和力，正從整體上影響著世界經(jīng)濟和社會發(fā)展的進程，引發(fā)了計算機應(yīng)用技術(shù)一場空前的技術(shù)革命。但是，伴隨而來的是計算機屢屢遭到破壞，輕者丟掉數(shù)據(jù)，重者系統(tǒng)平臺和計算機資源被攻擊，其損失常常是不可估量的，這是一個日益嚴(yán)峻的問題即計算機網(wǎng)絡(luò)安全。

為了保護自己的計算機、服務(wù)器和局域網(wǎng)資源免受攻擊破壞而丟掉數(shù)據(jù)、系統(tǒng)重新安裝等，利用防火墻技術(shù)是當(dāng)前比較流行且比較可行的一種網(wǎng)絡(luò)安全防護技術(shù)。其既是計算機高新技術(shù)的產(chǎn)物，又具有低廉實惠的特點，故簡要探究防火墻技術(shù)的特點和以及其在計算機網(wǎng)絡(luò)安全中的作用。計算機網(wǎng)絡(luò)的主要安全問題

2.1 網(wǎng)絡(luò)安全的定義

我國對于計算機安全的定義是：“計算機系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運行?！?2.2 網(wǎng)絡(luò)安全面臨的主要威脅

一般認(rèn)為，計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自計算機病毒、黑客的攻擊和拒絕服務(wù)攻擊三個方面。2.2.1 計算機病毒的侵襲

當(dāng)前，活性病毒達14000多種，計算機病毒侵入網(wǎng)絡(luò)，對網(wǎng)絡(luò)資源進行破壞，使網(wǎng)絡(luò)不能正常工作，甚至造成整個網(wǎng)絡(luò)的癱瘓。2.2.2 黑客侵襲

即黑客非法進入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過隱蔽通道進行非法活動；采用匿名用戶訪問進行攻擊；通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶賬號和密碼；非法獲取 3 網(wǎng)上傳輸?shù)臄?shù)據(jù)；突破防火墻等。2.2.3 拒絕服務(wù)攻擊

例如“點在郵件炸彈”，它的表現(xiàn)形式是用戶在很短的時間內(nèi)收到大量無用的電子郵件，從而影響正常業(yè)務(wù)的運行。嚴(yán)重時會使系統(tǒng)關(guān)機，網(wǎng)絡(luò)癱瘓。2.3.實現(xiàn)計算機安全的關(guān)鍵技術(shù) 2.3.1 數(shù)據(jù)加密

加密就是把明文變成密文，從而使未被授權(quán)的人看不懂它。有兩種主要的加密類型：私匙加密和公匙加密。2.3.2 認(rèn)證

對合法用戶進行認(rèn)證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認(rèn)證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。2.3.3 入侵檢測技術(shù)

入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點，是一種積極主動的安全防護技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。2.3.4 防病毒技術(shù)

隨著計算機技術(shù)的發(fā)展，計算機病毒變得越來越復(fù)雜和高級，計算機病毒防范不僅僅是一個產(chǎn)品、一個策略或一個制度，它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。2.3.5 文件系統(tǒng)安全

在網(wǎng)絡(luò)操作系統(tǒng)中，權(quán)限是一個關(guān)鍵性的概念，因為訪問控制實現(xiàn)在兩個方面：本地和遠程。建立文件權(quán)限的時候，必須在Windows 2000中首先實行新技術(shù)文件系統(tǒng)（New Technology File System，NTFS）。一旦實現(xiàn)了NTFS，你可以使用Windows資源管理器在文件和文件夾上設(shè)置用戶級別的權(quán)限。你需要了解可以分配什么樣的權(quán)限，還有日常活動期間一些規(guī)則是處理權(quán)限的。Windows 2000操作系統(tǒng)允許建立復(fù)雜的文件和文件夾權(quán)限，你可以完成必要的訪問控制。2.3.6 防火墻技術(shù)

防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。它是計算機網(wǎng)絡(luò)安全的第一道關(guān)卡。防火墻概述

隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。因此，保護網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染 4 顯得尤為重要。就目前而言，對于局部網(wǎng)絡(luò)的保護，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過濾、應(yīng)用代理、狀態(tài)檢測三類。其中包過濾作為最早發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。3.1 防火墻的概念

防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋。而這里所說的防火墻當(dāng)然不是指物理上的防火墻，而是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。它對網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包依照一定的安全策略進行檢查，以決定通信是否被允許，對外屏蔽內(nèi)部網(wǎng)絡(luò)的信息、結(jié)構(gòu)和運行狀況，并提供單一的安全和審計的安裝控制點，從而達到保護內(nèi)部網(wǎng)絡(luò)的信息不被外部非授權(quán)用戶訪問和過濾不良信息的目的[1]。3.2 防火墻的主要功能 3.2.1 強化網(wǎng)絡(luò)安全策略

在沒有防火墻的環(huán)境里，網(wǎng)絡(luò)安全管理是分散到每一個主機上的，所有主機必須同心協(xié)力才能維持網(wǎng)絡(luò)的安全性。而防火墻能夠?qū)崿F(xiàn)集中安全管理，可以將所有安全軟件配置在防火墻上，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機上。3.2.2 對輸入進行篩選

防火墻可以通過對傳入數(shù)據(jù)包的源地址、目標(biāo)地址及其他信息的檢查，確定是否允許通過。只有滿足防火墻配置規(guī)則的數(shù)據(jù)包才能通過防火墻，否則阻止數(shù)據(jù)包的傳人。

3.2.3 防止內(nèi)部信息的外泄

通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)中重點網(wǎng)段的隔離，限制內(nèi)部網(wǎng)絡(luò)中不同部門之間互相訪問，從而保障了網(wǎng)絡(luò)內(nèi)部敏感數(shù)據(jù)的安全。3.2.4 限制內(nèi)部用戶活動

防火墻通過用戶身份認(rèn)證來確定合法用戶。防火墻通過事先確定的完全檢查策略，來決定內(nèi)部用戶可以使用哪些服務(wù)，可以訪問哪些網(wǎng)站。3.2.5 網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT，Network Address Translation)

內(nèi)部網(wǎng)主機經(jīng)常要訪問Internet，而NAT可以將內(nèi)部網(wǎng)的專用地址轉(zhuǎn)換成Internet地址。這樣可以掩藏服務(wù)器的真正IP地址，起到一定的隔離作用，使內(nèi)部網(wǎng)絡(luò)用戶不被暴露在外部網(wǎng)絡(luò)中。此外防火墻可以作為部署NAT的邏輯地址，因此防火墻可以用來緩解地址空間短缺的問題，并消除機構(gòu)在變換ISP時帶來的重新編址的麻煩。

3.2.6 對網(wǎng)絡(luò)使用情況進行記錄監(jiān)控

防火墻能夠記錄所有經(jīng)過防火墻的訪問并形成完整的日志，提供有關(guān)網(wǎng)絡(luò)使 5 用情況的統(tǒng)計數(shù)據(jù)。當(dāng)網(wǎng)絡(luò)受到掃描或攻擊等可疑活動時，防火墻能進行報警，并提供詳細(xì)信息。

3.3 防火墻的分類及工作原理

國際計算機安全委員會ICSA將防火墻分成三大類:包過濾防火墻，應(yīng)用級代理服務(wù)器[3]以及狀態(tài)包檢測防火墻。3.3.1 包過濾防火墻

包過濾防火墻[4]就是把接收到的每個數(shù)據(jù)包同預(yù)先設(shè)定的包過濾規(guī)則相比較，從而決定是否阻塞或通過。包過濾防火墻工作在網(wǎng)絡(luò)層，通過對每個IP包的源地址、目的地址、傳輸協(xié)議等信息與事先設(shè)置的安全規(guī)則進行比較，如果滿足安全規(guī)則定義的IP包則通過，如果不符合安全規(guī)則定義的IP包則被排除。3.3.2 應(yīng)用代理防火墻

它是針對數(shù)據(jù)包過濾[5]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。應(yīng)用代理型防火墻設(shè)置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，當(dāng)用戶訪問目的站點時，對于符合安全規(guī)則的連接，首先用戶與代理服務(wù)器建立連接，應(yīng)用代理型防火墻將會代替目的站點進行響應(yīng)，并重新向目的站點發(fā)出一個同樣的請求。代理系統(tǒng)實際上是用戶和真實服務(wù)器之間的中介。3.3.3 狀態(tài)包檢測防火墻

狀態(tài)檢測又稱動態(tài)包過濾，是為了解決包過濾模式安全性不足的問題，在包過濾技術(shù)的基礎(chǔ)上，采用了一個執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎——檢測模塊。當(dāng)建立連接時，狀態(tài)檢測檢查預(yù)選設(shè)定的安全規(guī)則，符合規(guī)則的連接允許通過，并記錄下該連接的相關(guān)信息，動態(tài)保存生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。3.4 防火墻的主要技術(shù)優(yōu)缺點分析

如上文所述，防火墻技術(shù)主要有：包過濾技術(shù)、應(yīng)用代理技術(shù)、狀態(tài)檢測技術(shù)。

3.4.1 包過濾技術(shù)

優(yōu)點：包過濾防火墻因為工作在網(wǎng)絡(luò)層，因此處理包的速度快；此外它提供透明服務(wù)，即不需要用戶名和密碼來登錄，用戶不用改變客戶端程序。

缺點：網(wǎng)絡(luò)層在OSI體系中處于較低的層次，因而安全防護也是較低級；不能徹底防止地址欺騙，一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過濾，正常的數(shù)據(jù)包過濾路由器無法執(zhí)行某些安全策略，不能防范黑客攻擊，不支持應(yīng)用層協(xié)議，不能處理新的安全威脅。3.4.2 應(yīng)用代理技術(shù)

優(yōu)點：應(yīng)用代理型防火墻工作在0SI體系的最高層——應(yīng)用層，安全級別高于包過濾型防火墻；應(yīng)用代理型防火墻對用戶而言是透明的，而對外部網(wǎng)絡(luò)卻隱藏了內(nèi)部IP地址，可以保護內(nèi)部主機不受外部攻擊；代理系統(tǒng)可以控制戶機和服務(wù)器之間的流量，并對此加以記錄，提供詳細(xì)的日志。

缺點：代理速度較路由器慢，代理對用戶不透明，對于每項服務(wù)代理可能要求不同的服務(wù)器；代理服務(wù)不能保證你免受所有協(xié)議弱點的限制，代理不能改進底層協(xié)議的安全性。3.4.3 狀態(tài)檢測技術(shù)

優(yōu)點：配置了“專用檢測模塊”，它可以支持多種協(xié)議和應(yīng)用程序，可以很容易地實現(xiàn)應(yīng)用和服務(wù)的擴充；安全性更佳。

缺點：配置復(fù)雜，因而降低了網(wǎng)絡(luò)的速度。防火墻的缺陷及未來發(fā)展趨勢

4.1 防火墻的十大缺陷

防火墻在網(wǎng)絡(luò)安全防護中起著舉足輕重的作用，但它并不是萬能的，它仍然存在一定的局限性和不足?？傮w說來，存在十大方面的缺陷：

(1)防火墻不能防范不經(jīng)過它的攻擊。沒有經(jīng)過防火墻的數(shù)據(jù)，不能防范。(2)防火墻不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題。防火墻只對來自外部網(wǎng)絡(luò)的數(shù)據(jù)進行檢測，以保護內(nèi)部網(wǎng)絡(luò)；而對于內(nèi)部網(wǎng)絡(luò)中的用戶威脅，防火墻是無能為力的。

(3)防火墻不能防止TCP/IP協(xié)議、服務(wù)器系統(tǒng)的缺陷進行的攻擊。TCP/IP的缺陷和服務(wù)器系統(tǒng)漏洞是天然存在的，防火墻不能防止。

(4)防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當(dāng)有些表面看起來無害的數(shù)據(jù)或郵件拷貝到內(nèi)部的主機上進行執(zhí)行時，可能引發(fā)數(shù)據(jù)驅(qū)動式的攻擊。

(5)不能有效防范加密信息。防火墻只能識別與其數(shù)據(jù)庫中已有的特征數(shù)據(jù)匹配的信息，如果攻擊者將惡意代碼或攻擊指令轉(zhuǎn)換成其他形式隱藏起來，這種加密后的代碼，只要成功避開防火墻數(shù)據(jù)庫中的特征匹配，就能成功通過防火墻。

(6)防火墻的檢測功能是有限的。對于所有網(wǎng)絡(luò)和應(yīng)用程序流量的檢測，需要有空前的處理能力才能保證這些任務(wù)的完成，為了獲得高性能，就必然要求使用高端硬件，就目前而言，要完成這種深度檢測仍是十分困難的。

(7)防火墻不能防范受到病毒感染的文件、軟件。防火墻本身并不具有病毒的查殺功能，即使有，也不能查殺所有的病毒。

(8)防火墻是一種被動的防范手段，它只能對已知的網(wǎng)絡(luò)威脅起作用，對于新的未知的網(wǎng)絡(luò)攻擊防火墻是很難防范的。

7(9)防火墻的安全性和實用性成反比。防火墻越安全，則功能也就越少，速度也就越慢，防火墻的安全性和實用性將在一定的時間內(nèi)是一對主要矛盾。

(10)防火墻不能防止自身的安全漏洞的威脅。目前還沒有廠商能夠保證防火墻絕對不存在安全漏洞，防火墻能保護別人卻不能保護自己，因此對防火墻也必須進行安全防護。

4.2 關(guān)于防火墻未來發(fā)展的五點設(shè)想

既然防火墻存在缺陷在所難免，那么網(wǎng)絡(luò)安全又該如何保證呢？對防火墻技術(shù)研究的道路究竟該何去何從呢？在此，提出以下設(shè)想：

(1)形成以防火墻為核心的計算機網(wǎng)絡(luò)安全體系。到目前為止，防火墻技術(shù)仍然是應(yīng)用最廣泛的計算機網(wǎng)絡(luò)安全防護技術(shù)，防火墻的重要性不能替代，所以在相當(dāng)長的一段時間內(nèi)，防火墻是計算機網(wǎng)絡(luò)安全的核心。但是，要想最大程度地保護網(wǎng)絡(luò)安全，僅憑防火墻技術(shù)單方面的作用是不可行的，還必須借助其他手段，構(gòu)建以防火墻為核心，多個安全系統(tǒng)協(xié)作配合的計算機網(wǎng)絡(luò)安全體系。

(2)防火墻硬件技術(shù)架構(gòu)上的發(fā)展趨勢。目前防火墻正逐步地向基于網(wǎng)絡(luò)處理器和ASIC芯片的技術(shù)架構(gòu)方向發(fā)展。網(wǎng)絡(luò)處理器由于內(nèi)含有多個數(shù)據(jù)處理引擎，能夠直接完成網(wǎng)絡(luò)數(shù)據(jù)處理工作，減輕了CPU的負(fù)擔(dān)，在性能上有很大的提升；ASIC芯片有專門的數(shù)據(jù)包處理流水線，可以獲得很高的處理能力。

(3)智能技術(shù)的進一步發(fā)展。目前的防火墻只是識別一些已知的攻擊行為，對于未知的攻擊或未列出的攻擊防火墻顯得有些無能為力，因此智能化是將來的發(fā)展趨勢，能自動識別并防御黑客的各種手法及相應(yīng)的變種。

(4)分布式技術(shù)的進一步發(fā)展。分布式技術(shù)將是未來的趨勢。多臺物理防火墻協(xié)同工作，共同組織成一個強大的、具備并行處理能力、負(fù)載均衡能力的邏輯防火墻，不僅保證了在大型網(wǎng)絡(luò)安全策略的一致，而且集中管理大大降低了經(jīng)濟、人力及管理成本。

(5)經(jīng)濟高效的發(fā)展趨勢。防火墻要防止各種網(wǎng)絡(luò)的攻擊，其性能勢必會下降。安全性和實用性是一對主要矛盾，要找到網(wǎng)絡(luò)安全性與實用性之間的平衡點是防火墻未來發(fā)展面臨的問題。經(jīng)濟高效的防火墻將是未來研究的方向。

結(jié)束語

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全正面臨著越來越大的威脅。防火墻至關(guān)重要，但它并不是萬能的，在專業(yè)黑客和一些非法入侵者面前，防火墻也很無奈。我們除了設(shè)好防火墻這第一道關(guān)卡外，還應(yīng)當(dāng)借助其他安全防御手段一起來保護網(wǎng)絡(luò)的安全。參考文獻：

[1]StevenMBellovin,WilliamRCheswick.NetworkFierwalls[J].IEEECommunications.1994.g:50-57.[2] 鄭林.防火墻原理入門[Z].E企業(yè).2000.[3] 王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006，(8):24一27.[4]A.Feldman,S.Muthukrishnan.Tradeoffs for Packet ClassifiCation.Proc.Of the 9th Annual Joint Conference of the IEEE Computer and Communieations Soeieties.2000,vo1.3,1193-1201.[5] 王永綱，石江濤，戴雪龍，顏天信.網(wǎng)絡(luò)包分類算法仿真測試與比較研究.中國科學(xué)技術(shù)大學(xué)學(xué)報.2004，34(4):400一409.致 謝

本文是在蒲老師的悉心指導(dǎo)下完成的，從文獻的查閱、論文的選題、撰寫、修改、定稿，蒲老師給子了我很大的幫助。在此一并向所有幫助和關(guān)心過我的老師和朋友，表示真摯的感謝！