第一篇：計(jì)算機(jī)網(wǎng)絡(luò)安全課后題答案

第一章 緒論

1.計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅有哪些? 答:1.主要威脅：計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體面臨威脅（實(shí)體為網(wǎng)絡(luò)中的關(guān)鍵設(shè)備）；計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)面臨威脅（典型安全威脅）；惡意程序的威脅（如計(jì)算機(jī)病毒、網(wǎng)絡(luò)蠕蟲(chóng)、間諜軟件、木馬程序）；計(jì)算機(jī)網(wǎng)絡(luò)威脅有潛在對(duì)手和動(dòng)機(jī)（惡意攻擊/非惡意）2.典型的網(wǎng)絡(luò)安全威脅：竊聽(tīng)、重傳、偽造、篡造、非授權(quán)訪問(wèn)、拒絕服務(wù)攻擊、行為否 認(rèn)、旁路控制、電磁/射頻截獲、人員疏忽。2.分析計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性和安全缺陷

答：偶發(fā)因素：如電源故障、設(shè)備的功能失常及軟件開(kāi)發(fā)過(guò)程留下的漏洞或邏輯錯(cuò)誤； 自然災(zāi)害：各種自然災(zāi)害對(duì)計(jì)算機(jī)系統(tǒng)構(gòu)成嚴(yán)重的威脅； 人為因素：人為因素對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的破壞和威脅（包括被動(dòng)攻擊、主動(dòng)攻擊、鄰近攻擊、內(nèi)部人員攻擊和分發(fā)攻擊）。3.分析計(jì)算機(jī)網(wǎng)絡(luò)的安全需求 答：互聯(lián)網(wǎng)具有不安全性；操作系統(tǒng)存在的安全問(wèn)題；數(shù)據(jù)的安全問(wèn)題；傳輸路線的安全問(wèn)題；網(wǎng)絡(luò)安全管理問(wèn)題。4.分析計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)涵和外延是什么？

答：計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用管理控制和技術(shù)措施，保證在一個(gè)網(wǎng)絡(luò)環(huán)境里，信息數(shù)據(jù)的機(jī)密性，完整性及可使用受到保護(hù)。網(wǎng)絡(luò)的安全問(wèn)題包括兩方面的內(nèi)容，一是網(wǎng)絡(luò)的系統(tǒng)安全；二是網(wǎng)絡(luò)的信息安全。從廣義上說(shuō)，網(wǎng)絡(luò)上信息的保密性、完整性、可用性、不可否性和可控性是相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。5.論述OSI安全體系結(jié)構(gòu)

答：OSI安全系統(tǒng)結(jié)構(gòu)定義了鑒別服務(wù)、訪問(wèn)控制服務(wù)、數(shù)據(jù)機(jī)密性服務(wù)、數(shù)據(jù)完整性服務(wù)和抵抗賴(lài)性服務(wù)等五類(lèi)網(wǎng)絡(luò)安全服務(wù)；也定義了加密機(jī)制、數(shù)據(jù)簽名機(jī)制、訪問(wèn)控制機(jī)制、數(shù)據(jù)完整性機(jī)制、鑒別交換機(jī)制、通信業(yè)務(wù)流填充機(jī)制、路由控制和公證機(jī)制等八種基本的安全機(jī)制。

6.PPDR安全模型地結(jié)構(gòu)

答：PPDR模型是一種常用的網(wǎng)絡(luò)安全模型，主包含四個(gè)主要部份：Policy（安全策略）、Protection（防護(hù)）、Detection（檢測(cè)）和Response（響應(yīng)）。7.簡(jiǎn)述計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)

答：網(wǎng)絡(luò)安全技術(shù)：物理安全措施、數(shù)據(jù)傳輸安全技術(shù)、內(nèi)外網(wǎng)隔離技術(shù)、入侵檢測(cè)技術(shù)、訪問(wèn)控制技術(shù)、審計(jì)技術(shù)、安全性檢測(cè)技術(shù)、防病毒技術(shù)、備份技術(shù)和終端安全技術(shù)。

第二章 物理安全

1.物理安全主要包含哪些方面的內(nèi)容

答：機(jī)房環(huán)境安全、通信線路安全、設(shè)備安全和電源安全 2.計(jì)算機(jī)機(jī)房安全等級(jí)的劃分標(biāo)準(zhǔn)是什么？

答：機(jī)房的安全等級(jí)分為A類(lèi)、B類(lèi)和C類(lèi)三個(gè)基本類(lèi)別。A類(lèi)：對(duì)計(jì)算機(jī)機(jī)房的安全有嚴(yán)格的要求；B類(lèi)：對(duì)計(jì)算機(jī)機(jī)房的安全有較嚴(yán)格的要求，有較完善的計(jì)算機(jī)機(jī)房安全措施；C類(lèi)：對(duì)計(jì)算機(jī)機(jī)房的安全有基本的要求，有基本的計(jì)算機(jī)機(jī)房措施。

3.計(jì)算機(jī)機(jī)房安全技術(shù)主要技術(shù)措施有哪些？

答：1.機(jī)房的安全要求：計(jì)算機(jī)機(jī)房選址應(yīng)該避免靠近公共區(qū)域，避免窗戶(hù)直接鄰街，機(jī)房布局應(yīng)該工作區(qū)在內(nèi)，生活輔助區(qū)域在外，機(jī)房最好不要安排在底層或頂層；措施：保證所有進(jìn)出計(jì)算機(jī)機(jī)房的人必須在管理人員的監(jiān)控之下，外來(lái)人員進(jìn)入機(jī)房?jī)?nèi)部、應(yīng)該辦理相關(guān)手續(xù)，并對(duì)隨身物品進(jìn)行相應(yīng)的檢查。

2.機(jī)房的防盜要求，對(duì)重要設(shè)備和存儲(chǔ)媒體應(yīng)采取嚴(yán)格的防盜措施。措施：早期采取增加質(zhì)量和膠粘的防盜措施，后國(guó)外發(fā)明一種通過(guò)光纖電纜保護(hù)重要設(shè)備的方法，一種更方便的措施類(lèi)似于超市的防盜系統(tǒng)，視頻監(jiān)視系統(tǒng)更是一種更為可靠防盜設(shè)備，能對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的外圍環(huán)境、操作環(huán)境進(jìn)行實(shí)時(shí)的全程監(jiān)控。3.機(jī)房的三度要求（溫度（18-22度）、溫度（40%-60%為宜）、潔凈度（要求機(jī)房塵埃顆粒直徑小于0.5Um））為使機(jī)房?jī)?nèi)的三度達(dá)到規(guī)定的要求，空調(diào)系統(tǒng)、去濕機(jī)和除塵器是必不可少的設(shè)備。

4.防靜電措施：裝修材料避免使用掛彩、地毯等易吸塵，易產(chǎn)生靜電的材料、應(yīng)采用乙烯材料，安裝防靜電動(dòng)板并將設(shè)備接地。

5.接地與防雷要求：

地線種類(lèi)：保護(hù)地、直流地、屏蔽地、靜電池和雷地池。

接地系統(tǒng)：各自獨(dú)立的接地系統(tǒng)；交、直分開(kāi)的接地系統(tǒng)；共地接地系統(tǒng)；直流地、保護(hù)地共用地線系統(tǒng)和建筑物內(nèi)共地系統(tǒng)。

接地體：地樁、水平柵網(wǎng)、金屬接地板和建筑基礎(chǔ)鋼筋

防雷措施：使用接閃器、引下線和接地裝置吸引雷電流。機(jī)器設(shè)備應(yīng)用專(zhuān)用地線，機(jī)房本身有避雷設(shè)備和裝置。6.機(jī)房的防火、防水措施：隔離、火災(zāi)報(bào)警系統(tǒng)、滅火措施和管理措施。4.保障通信線路安全的主要技術(shù)措施有哪些？

答：電線加壓技術(shù)；對(duì)光纖等通信路線的防竊聽(tīng)技術(shù)（距離大于最大限制的系統(tǒng)之間，不采用光纖線通信）；加強(qiáng)復(fù)制器的安全，如用加壓措施、警報(bào)系統(tǒng)和加強(qiáng)警衛(wèi)等措施。

4.電磁輻射對(duì)網(wǎng)絡(luò)通信安全的影響主要體現(xiàn)在哪些方面，防護(hù)措施有哪些？ 答：影響主要體現(xiàn)在：計(jì)算機(jī)系統(tǒng)可能會(huì)通過(guò)電磁輻射使信息被截獲而失密，計(jì)算機(jī)系統(tǒng)中數(shù)據(jù)信息在空間中擴(kuò)散。防護(hù)措施：一類(lèi)對(duì)傳導(dǎo)發(fā)射的防護(hù)，主要采用對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減少傳輸阻抗和導(dǎo)線間的交叉耦合；另一類(lèi)是對(duì)輻射的防護(hù)，又可分為兩種：一種是采用各種電磁屏蔽措施，第二種是干擾的防護(hù)措施。為提高電子設(shè)備的抗干擾能力，主要措施有：屏蔽、濾波、隔離、接地，其中屏蔽是應(yīng)用最多的方法。5.保障存儲(chǔ)媒體安全的主要措施有哪些？

答：存放數(shù)據(jù)的盤(pán)，應(yīng)妥善保管；對(duì)硬盤(pán)上的數(shù)據(jù)，要建立有效的級(jí)別、權(quán)限，并嚴(yán)格管理，必要時(shí)加密，以確保數(shù)據(jù)安全；存放數(shù)據(jù)的盤(pán)，管理須落到人，并登記；對(duì)存放重要數(shù)據(jù)的盤(pán)，要備份兩份并分開(kāi)保管；打印有業(yè)務(wù)數(shù)據(jù)的打印紙，要視同檔案進(jìn)行管理；凡超過(guò)數(shù)據(jù)保存期，必須經(jīng)過(guò)特殊的數(shù)據(jù)加以清理；凡不能正常記錄數(shù)據(jù)的盤(pán)，需經(jīng)測(cè)試確認(rèn)后由專(zhuān)人進(jìn)行銷(xiāo)毀，并做好登記；對(duì)需要長(zhǎng)期保存的有效數(shù)據(jù)，應(yīng)質(zhì)量保證期內(nèi)進(jìn)行轉(zhuǎn)存，并保證轉(zhuǎn)存內(nèi)容正確。

第三章 信息加密與PKI 1.簡(jiǎn)述加密技術(shù)的基本原理，并指哪些常用的加密體制及代表算法。

答：信息加密技術(shù)是利用密碼學(xué)的原理與方法對(duì)傳輸數(shù)據(jù)提供保護(hù)手段，它以數(shù)學(xué)計(jì)算為基礎(chǔ)，信息論和復(fù)雜性理論是其兩個(gè)重要組成部分。加密體制的分類(lèi)：從原理上分為兩類(lèi)：即

單鑰或?qū)ΨQ(chēng)密碼體制（代表算法：DES算法，IDEA算法）和雙鑰或非對(duì)稱(chēng)密碼體制（代表算法：RSA算法，ElGamal算法）。

2.DES加密過(guò)程有幾個(gè)基本步驟？試分析其安全性能。

答：1.初始置換IP及其逆初始化轉(zhuǎn)換IP-1；乘積變換；選擇擴(kuò)展運(yùn)算、選擇壓縮運(yùn)算和置換運(yùn)算；DES安全性分析及其變形

3.RSA簽名方法與RSA加密方法對(duì)密鑰的使用有什么不同？ 答：RSA加密方法是在 多個(gè)密鑰中選中一部分密鑰作為加密密鑰，另一些作為解密密鑰。RSA簽名方法：如有k1/k2/k3三個(gè)密鑰，可將k1作為A的簽名私密鑰，k2作為B的簽名密鑰，k3作為公開(kāi)的驗(yàn)證簽名密鑰，實(shí)現(xiàn)這種多簽名體制，需要一個(gè)可信賴(lài)中心對(duì)A和B分配秘密簽名密鑰。3.試簡(jiǎn)述解決網(wǎng)絡(luò)數(shù)據(jù)加密的三種方式。答：常用的網(wǎng)絡(luò)數(shù)據(jù)加密方式有：

鏈路加密:對(duì)網(wǎng)絡(luò)中兩個(gè)相鄰節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)； 節(jié)點(diǎn)加密：指在信息傳輸過(guò)程的節(jié)點(diǎn)進(jìn)行解密和加密； 端到端的加密：指對(duì)一對(duì)用戶(hù)之間的數(shù)據(jù)連續(xù)地提供保護(hù)。4.認(rèn)證的目的是什么？認(rèn)證體制的要求和技術(shù)是什么？

答：1.認(rèn)證的目的有三個(gè)：一消息完整性認(rèn)證，即驗(yàn)證信息在傳送或存儲(chǔ)過(guò)程中是否被篡改；二是身份認(rèn)證，即驗(yàn)證消息的收發(fā)者是否持有正確的身份認(rèn)證符，如口令、密鑰等；三是消息的序號(hào)和操作時(shí)間（時(shí)間性）等的認(rèn)證，目的是防止消息重放或延遲等攻擊。2.一個(gè)安全的認(rèn)證體制至少應(yīng)該滿足以下要求：意定的接收者能夠檢驗(yàn)和證實(shí)消息的合法性，真實(shí)性和滿足性；消息的發(fā)送者對(duì)所發(fā)的消息不能抵賴(lài)，有時(shí)也要求消息的接收者不能否認(rèn)收到的消息；除了合法的消息發(fā)送外，其他人不能偽造發(fā)送消息。

3．?dāng)?shù)字簽名技術(shù)，一種實(shí)現(xiàn)消息完整性認(rèn)證和身份認(rèn)證的重要技術(shù)；身份認(rèn)證技術(shù)，包括直接身份認(rèn)證技術(shù)和間接身份認(rèn)證技術(shù)；消息認(rèn)證技術(shù)，包括消息內(nèi)容認(rèn)證、源和宿的認(rèn)證、消息序號(hào)和操作時(shí)間的認(rèn)證。5.什么是PKI？其用途有哪些？ 答：PKI是一個(gè)用公鑰密碼算法原理和技術(shù)提供安全服務(wù)的通用型基礎(chǔ)平臺(tái)，用戶(hù)可利用PKI平臺(tái)提供的安全服務(wù)進(jìn)行安全通信。PKI采用標(biāo)準(zhǔn)的密鑰管理規(guī)則，能夠?yàn)樗袘?yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所需要的密鑰和證書(shū)管理。

6.簡(jiǎn)述PKI的功能模塊組成。

答：主要包括認(rèn)證機(jī)構(gòu)CA、證書(shū)庫(kù)、密鑰備份、證書(shū)作廢處理系統(tǒng)和PKI應(yīng)用接口系統(tǒng)等。認(rèn)證機(jī)構(gòu)CA、證書(shū)庫(kù)、證書(shū)撤銷(xiāo)、密鑰備份和恢復(fù)、自動(dòng)更新密鑰、密鑰歷史檔案、交叉認(rèn)證、不可否認(rèn)證、時(shí)間戳和客戶(hù)端軟件

第四章 防火墻技術(shù) 1.簡(jiǎn)述防火墻的定義 答：防火墻是位于被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行控制策略的一個(gè)或一組系統(tǒng)，包括硬件和軟件，它構(gòu)成一道屏障，以防止發(fā)生對(duì)被保護(hù)網(wǎng)絡(luò)的不可預(yù)測(cè)、潛在破壞性的侵?jǐn)_。它對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過(guò)強(qiáng)制實(shí)施統(tǒng)一的安全策略，限制外界用戶(hù)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，管理內(nèi)部用戶(hù)訪問(wèn)外部網(wǎng)絡(luò)，防止對(duì)重要信息資源的非法存取和訪問(wèn)，以達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)系統(tǒng)安全的目的。2.防火墻的主要功能有哪些？

答：防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過(guò)控制和監(jiān)制網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。防火墻具有五大基本功能：過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；和管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為；封堵某些禁止的業(yè)務(wù)；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警。3.防火墻的體系結(jié)構(gòu)有哪幾種？簡(jiǎn)述各自的特點(diǎn)。

答：1.雙重宿主主機(jī)體系結(jié)構(gòu)；屏蔽主機(jī)體系結(jié)構(gòu)；屏蔽子網(wǎng)體系結(jié)構(gòu)。

2.雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個(gè)網(wǎng)絡(luò)往另一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。雙重宿主主機(jī)體系結(jié)構(gòu)是由一臺(tái)同時(shí)連接在內(nèi)外網(wǎng)絡(luò)的雙重宿主主機(jī)提供安全保障的，而屏蔽主機(jī)體系結(jié)構(gòu)則不同，在屏蔽主機(jī)體系結(jié)構(gòu)中，提供安全的主機(jī)僅僅與被保護(hù)的內(nèi)部網(wǎng)絡(luò)相連。屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到屏蔽主機(jī)體系結(jié)構(gòu)，即通過(guò)添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔開(kāi)。4.簡(jiǎn)述包過(guò)濾防火墻的工作機(jī)制和包過(guò)濾模型。

答：1.包過(guò)濾防火墻工作在網(wǎng)絡(luò)層，通?；贗P數(shù)據(jù)包的源地址、目的地址、源端口和目的端口進(jìn)行過(guò)濾。數(shù)據(jù)包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，被稱(chēng)為訪問(wèn)控制列表。

3.包過(guò)濾型防火墻一般有一個(gè)包檢查模塊，可以根據(jù)數(shù)據(jù)包頭的各項(xiàng)信息來(lái)控制站點(diǎn)與站點(diǎn)、站點(diǎn)與網(wǎng)絡(luò)、網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的訪問(wèn)，但不能控制傳輸?shù)臄?shù)據(jù)，因?yàn)閮?nèi)容是應(yīng)用層數(shù)據(jù)。4.簡(jiǎn)述包過(guò)濾的工作過(guò)程。

答：1.數(shù)據(jù)包過(guò)濾技術(shù)可以允許或不允許某些數(shù)據(jù)包在網(wǎng)絡(luò)上傳輸，主要依據(jù)有：數(shù)據(jù)包的源地址、目的地址、協(xié)議類(lèi)型（TCP、UDP、ICMP等）、TCP或UDP的源端口和目的端口、ICMP消息類(lèi)型。

2.包過(guò)濾系統(tǒng)只能進(jìn)行類(lèi)似以下情況的操作：不讓任何用戶(hù)從外部網(wǎng)用Telnet登錄；允許任何用戶(hù)用SMTP往內(nèi)部網(wǎng)發(fā)電子郵件；只允許某臺(tái)計(jì)算機(jī)通過(guò)NNTP往內(nèi)部網(wǎng)發(fā)新聞。但包過(guò)濾不能允許進(jìn)行如下的操作：允許某個(gè)用戶(hù)從外部網(wǎng)用Telent登錄而不允許其他用戶(hù)進(jìn)行這種操作；允許用戶(hù)傳送一些文件而不允許用戶(hù)傳送其他文件。5.簡(jiǎn)述代理防火墻的工作原理，并闡述代理技術(shù)的優(yōu)缺點(diǎn)。

答：1.所謂代理服務(wù)器，是指代表客戶(hù)處理連接請(qǐng)求的程序。當(dāng)代理服務(wù)器得到一個(gè)客戶(hù)的連接意圖時(shí)，它將核實(shí)客戶(hù)請(qǐng)求，并用特定的安全化的Proxy應(yīng)用程序來(lái)處理連接請(qǐng)求，將處理后的請(qǐng)求傳遞到真實(shí)服務(wù)器上，然后接受服務(wù)應(yīng)答，并進(jìn)行進(jìn)一步處理后，將答復(fù)交給發(fā)出請(qǐng)求的客戶(hù)。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接和隔離內(nèi)、外部網(wǎng)的作用，所以又叫代理防火墻。代理防火墻工作于應(yīng)用層，且針對(duì)特定的應(yīng)用層協(xié)議。2.優(yōu)點(diǎn)：代理易于配置；代理能生成各項(xiàng)記錄；代理能靈活、完全地控制進(jìn)出流量、內(nèi)容；代理能過(guò)濾數(shù)據(jù)內(nèi)容；代理能為用戶(hù)提供透明的加密機(jī)制；代理可以方便地與其他安全手段集成。缺點(diǎn)：代理速度較路由慢；代理對(duì)用戶(hù)不透明；對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器；代理服務(wù)器不能保證免受手所有協(xié)議弱點(diǎn)的限制；代理不能改進(jìn)底層協(xié)議的安全性。

5.簡(jiǎn)述狀態(tài)檢測(cè)防火墻的特點(diǎn)。

答：狀態(tài)檢測(cè)防火墻結(jié)合了包過(guò)濾防火墻和代理服務(wù)器防火墻的長(zhǎng)處，克服了兩者的不足，能夠根據(jù)協(xié)議、端口，以及源地址、目的地址的具體情況決定數(shù)據(jù)包是否允許通過(guò)。優(yōu)點(diǎn)：高安全性、高效性、可伸展性和易擴(kuò)展性、應(yīng)用范圍廣。不足：對(duì)大量狀態(tài)信息的處理過(guò)程可能會(huì)造成網(wǎng)絡(luò)的連接的某種遲滯。6.簡(jiǎn)述NAT技術(shù)的工作原理

答：NAT技術(shù)就是一種把內(nèi)部私有IP地址翻譯顧合法網(wǎng)絡(luò)IP地址的技術(shù)。簡(jiǎn)單來(lái)說(shuō)，NAT技術(shù)就是在局域網(wǎng)內(nèi)部中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通信時(shí)，就在網(wǎng)關(guān)處將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)上正常使用。

7.試描述攻擊者用于發(fā)現(xiàn)和偵察防火墻的典型技巧。

答：攻擊者往往通過(guò)發(fā)掘信息關(guān)系和最薄弱環(huán)節(jié)上的安全脆弱點(diǎn)來(lái)繞過(guò)防火墻，或者由拔點(diǎn)賬號(hào)實(shí)施攻擊來(lái)避免防火墻。典型技巧：

1.用獲取防火墻標(biāo)識(shí)進(jìn)行攻擊。憑借端口掃描和標(biāo)識(shí)等獲取技巧，攻擊者能效地確定目標(biāo)

網(wǎng)絡(luò)上幾乎每個(gè)防火墻的類(lèi)型、版本和規(guī)則。2.穿透防火墻進(jìn)行掃描。利用原始分組傳送進(jìn)行穿透防火墻掃描和利用源端口掃描進(jìn)行穿

透防火墻掃描。3.利用分組過(guò)濾的脆弱點(diǎn)進(jìn)行攻擊。利用ACL規(guī)則設(shè)計(jì)不完善的防火墻，允許某些分組不 受約束的通過(guò)。

4.利用應(yīng)用代理的脆弱點(diǎn)進(jìn)行攻擊。8.簡(jiǎn)述個(gè)人防火墻的特點(diǎn)

答：優(yōu)點(diǎn)：增加了保護(hù)級(jí)別，不需要額外的硬件資源；個(gè)人防火墻除了可以抵擋外來(lái)攻擊的同時(shí)，還可以抵擋內(nèi)部的攻擊；個(gè)人防火墻是對(duì)公共網(wǎng)絡(luò)中的單個(gè)系統(tǒng)提供了保護(hù)，能夠?yàn)橛脩?hù)隱蔽暴露在網(wǎng)絡(luò)上的信息，比如IP地址之類(lèi)的信息等。

缺點(diǎn)：個(gè)人防火墻對(duì)公共網(wǎng)絡(luò)只有一個(gè)物理接口，導(dǎo)致個(gè)人防火墻本向容易受到威脅；個(gè)人防火墻在運(yùn)行時(shí)需要占用個(gè)人計(jì)算機(jī)內(nèi)存、cPU時(shí)間等資源；個(gè)人防火墻只能對(duì)單機(jī)提供保護(hù)，不能保護(hù)網(wǎng)絡(luò)系統(tǒng)。9.簡(jiǎn)述防火墻的發(fā)展動(dòng)態(tài)和趨勢(shì)。

答：防火墻的發(fā)展動(dòng)態(tài)：防火墻有許多防范功能，但由于互聯(lián)網(wǎng)的開(kāi)放性，它也有力不能及的地方，主要表現(xiàn)以下幾個(gè)方面：防火墻不能防范不經(jīng)由防火墻的攻擊；防火墻目前還不能防止感染病毒的軟件或文件的傳輸，這只能在每臺(tái)主機(jī)上安裝反病毒軟件；防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊；另外，防火墻還存著安裝、管理、配置復(fù)雜的特點(diǎn)，在高流量的網(wǎng)絡(luò)中，防火墻還容易成為網(wǎng)絡(luò)的瓶頸。

防火墻的發(fā)展趨勢(shì)：優(yōu)良的性能；可擴(kuò)展的結(jié)構(gòu)和功能；簡(jiǎn)化的安裝和管理； 主動(dòng)過(guò)濾；防病毒與防黑客；發(fā)展聯(lián)動(dòng)技術(shù)。

第五章 入侵檢測(cè)技術(shù)

1.簡(jiǎn)述入侵檢測(cè)系統(tǒng)的基本原理

答：侵入檢測(cè)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性，完整性或可用性的一種網(wǎng)絡(luò)安全技術(shù)。它通過(guò)監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，采用誤用檢測(cè)或異常檢測(cè)的方式，發(fā)現(xiàn)非授權(quán)或惡意的系統(tǒng)及網(wǎng)絡(luò)行為，為防范入侵行為提供有效的手段。

2.入侵檢測(cè)的系統(tǒng)結(jié)構(gòu)和功能結(jié)構(gòu)的組成

答：1.由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)安全策略的差異，入侵檢測(cè)系統(tǒng)在具體實(shí)現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成看，入侵檢測(cè)系統(tǒng)應(yīng)包括數(shù)據(jù)提取、入侵分析、響應(yīng)處理、和遠(yuǎn)程管理四大部分。2.入侵檢測(cè)系統(tǒng)的功能結(jié)構(gòu)可分為兩個(gè)部分：中心檢測(cè)平臺(tái)和代理服務(wù)器，中心檢測(cè)平臺(tái)和代理服務(wù)器之間通過(guò)安全的遠(yuǎn)程過(guò)程調(diào)用。3.入侵檢測(cè)的分類(lèi)

2.由于功能和體系結(jié)構(gòu)的復(fù)雜性，入侵檢測(cè)系統(tǒng)模型可分為數(shù)據(jù)源、檢測(cè)理論和檢測(cè)時(shí)效三種?；跀?shù)據(jù)源的分類(lèi)，按照數(shù)據(jù)源處所的位置可把入侵檢測(cè)系統(tǒng)分為三類(lèi)，即基于主機(jī) 基于網(wǎng)絡(luò)、混合入侵檢測(cè)、基于網(wǎng)關(guān)的入侵檢測(cè)系統(tǒng)及文件完整性檢查系統(tǒng)。基于檢測(cè)理論的分類(lèi)，可分為異常檢測(cè)和誤用檢測(cè)兩種。基于檢測(cè)時(shí)效的分類(lèi)，IDS在處理數(shù)據(jù)的時(shí)候可采用實(shí)時(shí)在線檢測(cè)方式（實(shí)時(shí)檢測(cè)）、批處理方式（離線檢測(cè)）。入侵檢測(cè)分析模型

答：入侵檢測(cè)分析處理可分為三個(gè)階段：構(gòu)建分析器、對(duì)實(shí)際現(xiàn)場(chǎng)數(shù)據(jù)進(jìn)行分析、反饋和提煉過(guò)程。其中前兩個(gè)階段包含三個(gè)功能，即數(shù)據(jù)處理、數(shù)據(jù)分類(lèi)（數(shù)據(jù)可分為入侵指標(biāo)、非入侵指示或不確定）和后處理。4．簡(jiǎn)述誤用檢測(cè)的技術(shù)實(shí)現(xiàn)

答：誤用檢測(cè)是按照預(yù)定模式搜尋事件數(shù)據(jù)的，最適用于對(duì)已知模式的可靠檢測(cè)。執(zhí)行誤用檢測(cè)，主要依賴(lài)可靠的用戶(hù)活動(dòng)記錄和分析事件的方法。分為條件概率預(yù)測(cè)法、產(chǎn)生式/專(zhuān)家系統(tǒng)、狀態(tài)轉(zhuǎn)換方法（狀態(tài)轉(zhuǎn)換分析、有色Petri-Net、語(yǔ)言/基于API方法）、用于批模式分析的信息檢索技術(shù)、KeyStroke Monitor和基于模型的方法。5.簡(jiǎn)述異常檢測(cè)的技術(shù)實(shí)現(xiàn)

異常檢測(cè)基于一個(gè)假定：用戶(hù)的行為是可預(yù)測(cè)的、遵循一致性模式的，且隨著用戶(hù)事件的增加，異常檢測(cè)會(huì)適應(yīng)用戶(hù)行為的變化。用戶(hù)行為的特征輪廓在異常檢測(cè)中是由度量集來(lái)描述的。為Denning的原始模型、量化分析、統(tǒng)計(jì)度量、非參數(shù)統(tǒng)計(jì)度量和基于規(guī)則的方法。6.指出分布式入侵檢測(cè)的優(yōu)勢(shì)和劣勢(shì)

答：分布式入侵檢測(cè)由于采用了非集中的系統(tǒng)結(jié)構(gòu)和處理方式，相對(duì)于傳統(tǒng)的單機(jī)IDS具有一些明顯的優(yōu)勢(shì)：檢測(cè)大范圍的攻擊行為、提高檢測(cè)的準(zhǔn)確度、提高檢測(cè)效率、協(xié)調(diào)響應(yīng)措施；分布式入侵檢測(cè)的技術(shù)難點(diǎn)：事件產(chǎn)生及存儲(chǔ)、狀態(tài)空間管理及規(guī)則復(fù)雜度、知識(shí)庫(kù)管理和推理技術(shù)。7.入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)

答：1.IETF/IDWG.IDWG定義了用于入侵檢測(cè)與響應(yīng)（IDR）系統(tǒng)之間或與需要交互管理系統(tǒng)之間的信息共享所需要的數(shù)據(jù)格式和交換規(guī)程。IDWG提出了三項(xiàng)建議草案：入侵檢測(cè)消息交換格式（IDMEF）、入侵檢測(cè)交換協(xié)議（IDXP）及隧道輪廓 2.CIDF.CIDF的工作集中體現(xiàn)在四個(gè)方面：IDS體系結(jié)構(gòu)、通信機(jī)制、描述語(yǔ)言和應(yīng)用編程接口API。8.CIDF的體系結(jié)構(gòu)組成

答：分為四個(gè)基本組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫(kù)。事件產(chǎn)生器、事件分析器、響應(yīng)單元通常以應(yīng)用程序的形式出現(xiàn)，而事件數(shù)據(jù)庫(kù)是文件或數(shù)據(jù)流的形式。

第六章 網(wǎng)絡(luò)安全檢測(cè)技術(shù) 1.安全威脅的概念和分類(lèi)？

答：安全威脅是指所有能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)信息的機(jī)密性、可用性和完整性產(chǎn)生阻礙、破壞或中斷的各種因素。安全威脅可分為人為安全威脅和非人為安全威脅兩大類(lèi)。安全威脅和安全漏洞密切相關(guān)，安全漏洞的可度量性使人們對(duì)系統(tǒng)安全的潛在影響有了更加直觀的認(rèn)識(shí)。2.什么是安全漏洞，安全漏洞產(chǎn)生的內(nèi)在原因是什么？

答：1.漏洞是指在硬件、軟件和協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。2.漏洞的產(chǎn)生有其必然性，這是因?yàn)檐浖恼_性通常是通過(guò)檢測(cè)來(lái)保障的。檢測(cè)只能發(fā)現(xiàn)錯(cuò)誤，證明錯(cuò)誤的存在，不能證明錯(cuò)誤的不存在。尤其是像操作系統(tǒng)這樣的大型軟件不可避免地存在著設(shè)計(jì)上的缺陷，這些缺陷反映在安全功能上便造成了系統(tǒng)的安全脆弱性。3.網(wǎng)絡(luò)安全漏洞的分類(lèi)有哪些？

答：1.按漏洞可能對(duì)系統(tǒng)造成的直接威脅分類(lèi)，有：遠(yuǎn)程管理員權(quán)限、本地管理員權(quán)限、普通用戶(hù)訪問(wèn)權(quán)限、權(quán)限提升、讀取受限文件、遠(yuǎn)程拒絕服務(wù)、本地拒絕服務(wù)、遠(yuǎn)程非授權(quán)文件存取、口令恢復(fù)、欺騙、服務(wù)器信息泄露和其他漏洞。2．按漏洞成因分類(lèi)：輸入驗(yàn)證錯(cuò)誤、訪問(wèn)驗(yàn)證錯(cuò)誤、競(jìng)爭(zhēng)條件、意外情況處置錯(cuò)誤、設(shè)計(jì)錯(cuò)誤、配置錯(cuò)誤、環(huán)境錯(cuò)誤。

4.網(wǎng)絡(luò)安全漏洞檢測(cè)技術(shù)分哪幾類(lèi)？具體作用是什么？

答：網(wǎng)絡(luò)安全漏洞檢測(cè)主要包括端口掃描、操作系統(tǒng)探測(cè)和安全漏洞探測(cè)。通過(guò)端口掃描可以掌握系統(tǒng)都開(kāi)放了哪些端口、提供了哪些網(wǎng)絡(luò)服務(wù)；通過(guò)操作系統(tǒng)探測(cè)可以掌握操作系統(tǒng)的類(lèi)型信息；通過(guò)安全漏洞探測(cè)可以發(fā)現(xiàn)系統(tǒng)中可能存在的安全漏洞。網(wǎng)絡(luò)安全漏洞檢測(cè)的一個(gè)重要目的就是要在入侵者之前發(fā)現(xiàn)系統(tǒng)中存在的安全問(wèn)題，及時(shí)地采取相應(yīng)防護(hù)措施。

5.端口掃描技術(shù)的原理是什么？根據(jù)通信協(xié)議的不同可以分為哪幾類(lèi)？

答：端口掃描的原理是向目標(biāo)主機(jī)的TCP/IP端口發(fā)現(xiàn)探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。通過(guò)分析響應(yīng)來(lái)判斷端口是打開(kāi)還是關(guān)閉等狀態(tài)信息。根據(jù)所使用通信協(xié)議的不同，網(wǎng)絡(luò)通信端口可以分為T(mén)CP端口（全連接、半連接）和UDP端口兩大類(lèi)。

6.操作系統(tǒng)探測(cè)技術(shù)分為幾類(lèi)？

答：操作系統(tǒng)探測(cè)主要包括：獲取標(biāo)識(shí)信息探測(cè)技術(shù)、基于TCP/IP協(xié)議棧的操作系統(tǒng)指紋探測(cè)技術(shù)和ICMP響應(yīng)分析探測(cè)技術(shù)。

7.安全漏洞探測(cè)技術(shù)有哪些分類(lèi)？

答：安全漏洞探測(cè)是采用各種方法對(duì)目標(biāo)可能存在的己知安全漏洞進(jìn)行逐項(xiàng)檢查。按照安全漏洞的可利用方式來(lái)劃分，漏洞探測(cè)技術(shù)可以分為信息型漏洞探測(cè)和攻擊漏洞探測(cè)兩種。按照漏洞探測(cè)的技術(shù)特征，又可以劃分為基于應(yīng)用的探測(cè)技術(shù)、基于主機(jī)的探測(cè)技術(shù)、基于目標(biāo)的探測(cè)技術(shù)和基于網(wǎng)絡(luò)的探測(cè)技術(shù)等。

第七章 計(jì)算機(jī)病毒與惡意代碼防范技術(shù) 1.簡(jiǎn)述計(jì)算機(jī)病毒的定義和特征。

答：計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒具有以下特征：非授權(quán)可執(zhí)行性、隱蔽性、傳染性、潛伏性、破壞性和可觸發(fā)性。

2.簡(jiǎn)述計(jì)算機(jī)病毒的危害。

答：計(jì)算機(jī)病毒的危害主要有：直接破壞計(jì)算機(jī)數(shù)據(jù)信息；占用磁盤(pán)空間和對(duì)信息的破壞；

搶占系統(tǒng)資源；影響計(jì)算機(jī)運(yùn)行速度；計(jì)算機(jī)病毒錯(cuò)誤與不可見(jiàn)的危害；計(jì)算機(jī)病毒的兼容性對(duì)系統(tǒng)運(yùn)行的影響；給用戶(hù)造成嚴(yán)重的心理壓力。3.簡(jiǎn)述計(jì)算機(jī)病毒的分類(lèi)。

答：按照計(jì)病毒攻擊的系統(tǒng)分類(lèi)，有攻擊DOS系統(tǒng)的病毒、攻擊Windows系統(tǒng)的病毒、攻擊UNIX系統(tǒng)的病毒。按照病毒的鏈接分類(lèi)，有源碼型病毒、嵌入型病毒、外殼病毒和操作系統(tǒng)病毒。按照病毒的破壞情況分類(lèi)，有良性計(jì)算機(jī)病毒、惡性計(jì)算機(jī)病毒。按照病毒的寄生方式分類(lèi)，有引導(dǎo)型病毒、文件型病毒和復(fù)合型病毒。按照病毒的傳播媒介分類(lèi)，有單機(jī)病毒和網(wǎng)絡(luò)病毒。

4.試述計(jì)算機(jī)病毒的-般構(gòu)成、各個(gè)功能模塊的作用和作用機(jī)制。

答：計(jì)算機(jī)病毒一般包括三大功能模塊，即引導(dǎo)模塊、傳染模塊和發(fā)作模塊（破壞/表現(xiàn)模塊）。

1.引導(dǎo)模塊，計(jì)算機(jī)病毒要對(duì)系統(tǒng)進(jìn)行破壞，爭(zhēng)奪系統(tǒng)控制權(quán)是至關(guān)重要的，一般的病毒都是由引導(dǎo)模塊從系統(tǒng)獲取控制權(quán)，引導(dǎo)病毒的其他部分工作。中斷是CPU處理外部突發(fā)事件的一個(gè)重要技術(shù)。它能使CPU在運(yùn)行過(guò)程對(duì)外部事件發(fā)出中斷請(qǐng)求及時(shí)進(jìn)行處理，處理完后立即返回?cái)帱c(diǎn)，繼續(xù)CPU原來(lái)的工作。

2.傳染模塊，計(jì)算機(jī)的傳染是病毒由一個(gè)系統(tǒng)擴(kuò)散到另一個(gè)系統(tǒng)，由一張磁盤(pán)傳入另一張磁盤(pán)，由一個(gè)網(wǎng)絡(luò)傳播到另一個(gè)網(wǎng)絡(luò)的過(guò)程。計(jì)算機(jī)病毒是不能獨(dú)立存在的，它必須寄生于一個(gè)特定的寄生宿主上。

3.發(fā)作模塊，計(jì)算機(jī)病毒潛伏在系統(tǒng)中處于發(fā)作就緒狀態(tài)，一旦病毒發(fā)作就執(zhí)行病毒設(shè)計(jì)者的目的的操作。破壞機(jī)制在設(shè)計(jì)原理、工作原理與傳染機(jī)制基本相同。5.目前計(jì)算機(jī)病毒預(yù)防采用的技術(shù)有哪些？

答：嚴(yán)格的管理、有效的技術(shù)、宏病毒的防范、電子郵件病毒的防范。5.對(duì)于計(jì)算機(jī)的病毒有哪些檢測(cè)技術(shù)？

答：特征代碼法、檢驗(yàn)和法、行為監(jiān)測(cè)法和軟件模擬法。6.簡(jiǎn)述計(jì)算機(jī)病毒的發(fā)展趨勢(shì)。

答：利用微軟件漏洞主動(dòng)傳播；局域網(wǎng)內(nèi)快速傳播、以多種方式傳播、雙程序結(jié)構(gòu)、用即時(shí)工具傳播病毒。7.什么是惡意代碼？防范惡意代碼有哪些？

答：惡意代碼是一種程序，通常在人們沒(méi)有察覺(jué)有情況下把代碼寄宿到另一段程序中，從而達(dá)到破壞被感染計(jì)算機(jī)的數(shù)據(jù)，運(yùn)行具有入侵性或破壞性的程序，破壞被感染系統(tǒng)數(shù)據(jù)的安全性和完整性的目的。防范惡意代碼可以分為普通病毒、木馬、網(wǎng)絡(luò)蠕蟲(chóng)、移動(dòng)代碼和復(fù)合型病毒等類(lèi)型。8.簡(jiǎn)述惡意代碼所使用的關(guān)鍵技術(shù)。

答：惡意代碼的主要關(guān)鍵技術(shù)有生存技術(shù)、攻擊技術(shù)和隱藏技術(shù)。生存技術(shù)主要包括4個(gè)方面：反跟蹤技術(shù)、加密技術(shù)、模糊變換技術(shù)和自動(dòng)生產(chǎn)技術(shù)。攻擊技術(shù)包括：進(jìn)程注入技術(shù)、端口復(fù)用技術(shù)、對(duì)抗檢測(cè)技術(shù)、端口反向連接和緩沖區(qū)溢出攻擊技術(shù)等。隱藏技術(shù)通常包括本地隱藏和通信隱藏，本地隱藏主要有文件隱藏、進(jìn)程隱藏、網(wǎng)絡(luò)連接隱藏和內(nèi)核模塊隱藏等；通信隱藏主要包括通信內(nèi)容隱藏和傳輸通道隱藏。9.CIH病毒一般破壞哪些部位？它發(fā)作時(shí)有哪些現(xiàn)象？

答：CIH病毒一般破壞硬盤(pán)數(shù)據(jù)甚至主板上的BIOS的內(nèi)容，導(dǎo)致主機(jī)無(wú)法啟動(dòng)。發(fā)作現(xiàn)象：顯示器突然黑屏，硬盤(pán)指標(biāo)燈閃爍為停，重新開(kāi)機(jī)后，計(jì)算機(jī)無(wú)法啟動(dòng)

第二篇：計(jì)算機(jī)網(wǎng)絡(luò)安全B答案[范文]

計(jì)算機(jī)網(wǎng)絡(luò)安全試卷B答案

一、單選題（共20分，每題1分）

1-5 DBACC6-10 DBDAA11-15 AABDA16-20 AABDD

二、填空題（共20分，每題1分）

1、響應(yīng)、恢復(fù)2、1003、物理隔離網(wǎng)閘

4、多人負(fù)責(zé)原則

5、防火墻

6、代理服務(wù)器

7、最小特權(quán)原則

8、消息加密

9、邏輯備份

10、硬件備份 軟件備份

11、潛伏 繁殖

12、實(shí)時(shí)監(jiān)視技術(shù) 自動(dòng)解壓縮技術(shù)

13、中心管理

14、節(jié)點(diǎn)加密 端對(duì)端加密

15、分解

三、名詞解釋?zhuān)ü?0分，每題2分）

1.實(shí)體安全技術(shù)——指對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的環(huán)境、場(chǎng)地、設(shè)備和人員等采取的安全技術(shù)措施。

2.公共管理信息協(xié)議——是在OSI制定的網(wǎng)絡(luò)管理框架中提出的網(wǎng)絡(luò)管理協(xié)議。它是一個(gè)分布式的網(wǎng)絡(luò)管理解決方案，應(yīng)用在OSI環(huán)境下。

3.雙宿主機(jī)網(wǎng)關(guān)——是用一臺(tái)裝有兩塊網(wǎng)卡的主機(jī)做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序、提供服務(wù)等。

4.自主訪問(wèn)控制模型——是根據(jù)自動(dòng)訪問(wèn)控制策略建立的一種模型，它是基于對(duì)主體和主體所屬的主體組的識(shí)別來(lái)限制對(duì)客體的訪問(wèn)，也就是由擁有資源的用戶(hù)自己來(lái)決定其他一個(gè)或一些主體可以在什么程度上訪問(wèn)哪些資源。

5.NAS存儲(chǔ)技術(shù)——是一種將分布、獨(dú)立的數(shù)據(jù)整合為大型、集中化管理的數(shù)據(jù)中心，以便于對(duì)不同主機(jī)和應(yīng)用服務(wù)器進(jìn)行訪問(wèn)的技術(shù)。

四、判斷題（共10分，每題1分）

1-5 √×××× 6-10 ××√√×

五、簡(jiǎn)答題（共20分，每題5分）

1.簡(jiǎn)述《可信計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn)》的內(nèi)容

答：將計(jì)算機(jī)系統(tǒng)的可信程度，即安全等級(jí)劃分為D、C、B、A四類(lèi)7級(jí)，由低到高。上級(jí)包括它下級(jí)的所有特性，從最簡(jiǎn)單的系統(tǒng)安全特性直到最高級(jí)的計(jì)算機(jī)安全模型技術(shù)，不同計(jì)算機(jī)信息系統(tǒng)可以根據(jù)需要和可能選用不同安全保密強(qiáng)度的不同標(biāo)準(zhǔn)

2.簡(jiǎn)述RAID的相關(guān)技術(shù)

答：①磁盤(pán)鏡像技術(shù) ②奇偶校驗(yàn)技術(shù) ③條塊技術(shù) ④雙機(jī)集群的磁盤(pán)陣列技術(shù)

3.簡(jiǎn)述入侵檢測(cè)過(guò)程

答：入侵信息的收集；信號(hào)分析；響應(yīng)

4.簡(jiǎn)述構(gòu)筑防病毒體系的基本原則

答：①化被動(dòng)為主動(dòng) ②全方位保護(hù) ③技術(shù)管理雙保險(xiǎn) ④循序漸進(jìn)部署合適的防病毒體系

六、計(jì)算分析題（共20分，每題10分）

1、（e，n）=（3，55）

（d，n）=（27，55）

2、1)

L0= ******11 R0= ******11 2）

C0= 1110110

D0= 1011010

3）S2輸出1001

01001100010110 0100011 0010001 0111011 1100110

第三篇：大學(xué)計(jì)算機(jī)基礎(chǔ)課后題答案word2

電子政務(wù)

所 謂電子政務(wù)，是指政府機(jī)構(gòu)在其管理和服務(wù)職能中

運(yùn)用現(xiàn)代信息手段，實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化，超越時(shí)間、空間和部門(mén)分隔的制約，建成一個(gè)精簡(jiǎn)、高效、廉潔、公平的政府運(yùn)作模式。

電子政務(wù)有以下四個(gè)突出特點(diǎn)：

☆

☆

☆ ☆

作者 日期

第四篇：計(jì)算機(jī)網(wǎng)絡(luò)安全

黃岡職業(yè)技術(shù)學(xué)院

電子信息學(xué)院

課程期末項(xiàng)目考核任務(wù)書(shū)

課程名稱(chēng):網(wǎng)絡(luò)設(shè)備配置與管理學(xué)生姓名:張贏學(xué)生學(xué)號(hào):200902081125專(zhuān)業(yè)名稱(chēng):計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)

2011-2012學(xué)年第一學(xué)期

電子信息學(xué)院教務(wù)辦室制

摘要...............2 前言...............2

第1章計(jì)算機(jī)通信網(wǎng)絡(luò)安全概述...........2

第2章影響計(jì)算機(jī)通信網(wǎng)絡(luò)安全的因素分析.....2

2.1影響計(jì)算機(jī)通信網(wǎng)絡(luò)安全的客觀因素...........2

2.1.1網(wǎng)絡(luò)資源的共享性............2

2.1.2網(wǎng)絡(luò)操作系統(tǒng)的漏洞..........2

2.1.3網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷..........3

2.1.4網(wǎng)絡(luò)的開(kāi)放性................3

2.1.5惡意攻擊.............3

2.2影響計(jì)算機(jī)網(wǎng)絡(luò)通信安全的主觀因素...........3

第3章計(jì)算機(jī)網(wǎng)絡(luò)的安全策略..............3

3.1物理安全策略.............3

3.2常用的網(wǎng)絡(luò)安全技術(shù).............3

3.2.1 網(wǎng)絡(luò)加密技術(shù)................4

3.2.2 防火墻技術(shù)...........4

3.2.3 操作系統(tǒng)安全內(nèi)核技術(shù)...............4

3.2.4 身份驗(yàn)證技術(shù)身份驗(yàn)證技術(shù)...........5

3.2.5 網(wǎng)絡(luò)防病毒技術(shù)..............5

總結(jié)...............5 參考文獻(xiàn).................5摘要：隨著計(jì)算機(jī)信息技術(shù)的迅猛發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)越發(fā)成為農(nóng)業(yè)、工業(yè)、第三產(chǎn)業(yè)和國(guó)防工業(yè)的重要信息交換媒介，并且滲透到社會(huì)生活的各個(gè)角落。因此，認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅的嚴(yán)重性，采取強(qiáng)有力安全策略勢(shì)在必行。計(jì)算機(jī)網(wǎng)絡(luò)安全工作是一項(xiàng)長(zhǎng)期而艱巨的任務(wù)，它應(yīng)該貫徹于整個(gè)信息網(wǎng)絡(luò)的籌劃、組成、測(cè)試的全過(guò)程。本文結(jié)合實(shí)際情況，分析網(wǎng)絡(luò)安全問(wèn)題并提出相應(yīng)對(duì)策。

前言：隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展，在計(jì)算機(jī)上完成的工作已由基于單機(jī)的文件處理、自動(dòng)化辦公，發(fā)展到今天的企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)和國(guó)際互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務(wù)處理，也就是我們常說(shuō)的局域網(wǎng)、城域網(wǎng)和廣域網(wǎng)。計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用領(lǐng)域已從傳統(tǒng)的小型業(yè)務(wù)系統(tǒng)逐漸向大型業(yè)務(wù)系統(tǒng)擴(kuò)展。計(jì)算機(jī)網(wǎng)絡(luò)在為人們提供便利、帶來(lái)效益的同時(shí)，也使人類(lèi)面臨著信息安全的巨大挑戰(zhàn)。

第1章計(jì)算機(jī)通信網(wǎng)絡(luò)安全概述

所謂計(jì)算機(jī)通信網(wǎng)絡(luò)安全，是指根據(jù)計(jì)算機(jī)通信網(wǎng)絡(luò)特性，通過(guò)相應(yīng)的安全技術(shù)和措施，對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)的硬件、操作系統(tǒng)、應(yīng)用軟件和數(shù)據(jù)等加以保護(hù)，防止遭到破壞或竊取，其實(shí)質(zhì)就是要保護(hù)計(jì)算機(jī)通訊系統(tǒng)和通信網(wǎng)絡(luò)中的各種信息資源免受各種類(lèi)型的威脅、干擾和破壞。

第2章影響計(jì)算機(jī)通信網(wǎng)絡(luò)安全的因素分析

計(jì)算機(jī)通信網(wǎng)絡(luò)的安全涉及到多種學(xué)科，包括計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等十?dāng)?shù)種，這些技術(shù)各司其職，保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)免遭各種因素的破壞、更改、泄露，保證系統(tǒng)連續(xù)可靠正常運(yùn)行。

2.1影響計(jì)算機(jī)通信網(wǎng)絡(luò)安全的客觀因素

2.1.1網(wǎng)絡(luò)資源的共享性

計(jì)算機(jī)網(wǎng)絡(luò)最主要的一個(gè)功能就是“資源共享”。無(wú)論你是在天涯海角，還是遠(yuǎn)在天邊，只要有網(wǎng)絡(luò)，就能找到你所需要的信息。所以，資源共享的確為我們提供了很大的便利，但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞也提供了機(jī)會(huì)。

2.1.2網(wǎng)絡(luò)操作系統(tǒng)的漏洞

操作系統(tǒng)漏洞是指計(jì)算機(jī)操作系統(tǒng)本身所存在的問(wèn)題或技術(shù)缺陷。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種的缺陷和漏洞。

2.1.3網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷

網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。

2.1.4網(wǎng)絡(luò)的開(kāi)放性

網(wǎng)上的任何一個(gè)用戶(hù)很方便訪問(wèn)互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個(gè)企業(yè)、單位以及個(gè)人的信息。

2.1.5惡意攻擊

惡意攻擊就是人們常見(jiàn)的黑客攻擊及網(wǎng)絡(luò)病毒．是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化，這類(lèi)攻擊也越來(lái)越多，影響越來(lái)越大。無(wú)論是DOS 攻擊還是DDOS 攻擊，簡(jiǎn)單的看，都只是一種破壞網(wǎng)絡(luò)服務(wù)的黑客方式，雖然具體的實(shí)現(xiàn)方式千變?nèi)f化，但都有一個(gè)共同點(diǎn)，就是其根本目的是使受害主機(jī)或網(wǎng)絡(luò)無(wú)法及時(shí)接收并處理外界請(qǐng)求，或無(wú)法及時(shí)回應(yīng)外界請(qǐng)求。具體表現(xiàn)方式有以下幾種：（1）制造大流量無(wú)用數(shù)據(jù)，造成通往被攻擊主機(jī)的網(wǎng)絡(luò)擁塞，使被攻擊主機(jī)無(wú)法正常和外界通信。（2）利用被攻擊主機(jī)提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷，反復(fù)高頻的發(fā)出攻擊性的重復(fù)服務(wù)請(qǐng)求，使被攻擊主機(jī)無(wú)法及時(shí)處理其它正常的請(qǐng)求。（3）利用被攻擊主機(jī)所提供服務(wù)程序或傳輸協(xié)議的本身實(shí)現(xiàn)缺陷，反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯(cuò)誤而分配大量系統(tǒng)資源，使主機(jī)處于掛起狀態(tài)甚至死機(jī)。

DOS 攻擊幾乎是從互聯(lián)網(wǎng)絡(luò)的誕生以來(lái)，就伴隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展而一直存在也不斷發(fā)展和升級(jí)。值得一提的是，要找DOS 的工具一點(diǎn)不難，黑客網(wǎng)絡(luò)社區(qū)都有共享黑客軟件的傳統(tǒng)，并會(huì)在一起交流攻擊的心得經(jīng)驗(yàn)，你可以很輕松的從Internet 上獲得這些工具。所以任何一個(gè)上網(wǎng)者都可能構(gòu)成網(wǎng)絡(luò)安全的潛在威脅。DOS 攻擊給飛速發(fā)展的互聯(lián)網(wǎng)絡(luò)安全帶來(lái)重大的威脅。然而從某種程度上可以說(shuō)，D0S 攻擊永遠(yuǎn)不會(huì)消失而且從技術(shù)上目前沒(méi)有根本的解決辦法。

2.2影響計(jì)算機(jī)網(wǎng)絡(luò)通信安全的主觀因素

主要是計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)管理人員缺乏安全觀念和必備技術(shù)，如安全意識(shí)、防范意思等。

第3章計(jì)算機(jī)網(wǎng)絡(luò)的安全策略

3.1物理安全策略

物理安全策略目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶(hù)的身份和使用權(quán)限、防止用戶(hù)越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。物理安全策略還包括加強(qiáng)網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對(duì)于確保網(wǎng)絡(luò)的安全、可靠地運(yùn)行，將起到十分有效的作用。網(wǎng)絡(luò)安全管理策略包括：確定安全管理等

級(jí)和安全管理范圍。

3.2常用的網(wǎng)絡(luò)安全技術(shù)

3.2.1 網(wǎng)絡(luò)加密技術(shù)

網(wǎng)絡(luò)加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個(gè)加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶(hù)的搭線竊聽(tīng)和入網(wǎng)，而且也是對(duì)付惡意軟件的有效方法之一。網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密，端點(diǎn)加密和節(jié)點(diǎn)加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端點(diǎn)加密的目的是對(duì)源端用戶(hù)到目的端用戶(hù)的數(shù)據(jù)提供加密保護(hù)；節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供加密保護(hù)。用戶(hù)可根據(jù)網(wǎng)絡(luò)情況選擇上述三種加密方式。

如果按照收發(fā)雙方的密鑰是否相同來(lái)分類(lèi)，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。在實(shí)際應(yīng)用中，人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如：利用DES 或者IDEA 來(lái)加密信息，而采用RSA 來(lái)傳遞會(huì)話密鑰。如果按照每次加密所處理的比特來(lái)分類(lèi)，可以將加密算法分為序列密碼算法和分組密碼算法，前者每次只加密一個(gè)比特。

3.2.2 防火墻技術(shù)

防火墻技術(shù)是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外界之間的一道屏障，是通過(guò)計(jì)算機(jī)硬件和軟件的組合來(lái)建立起一個(gè)安全網(wǎng)關(guān)，從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶(hù)的入侵，它可以通過(guò)鑒別、限制，更改跨越防火墻的數(shù)據(jù)流，來(lái)保證通信網(wǎng)絡(luò)的安全對(duì)今后計(jì)算機(jī)通信網(wǎng)絡(luò)的發(fā)展尤為重要。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類(lèi)型:包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和狀態(tài)監(jiān)測(cè)型。

3.2.3 操作系統(tǒng)安全內(nèi)核技術(shù)

操作系統(tǒng)安全內(nèi)核技術(shù)除了在傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)上著手，人們開(kāi)始在操作系統(tǒng)的層次上考慮網(wǎng)絡(luò)安全性，嘗試把系統(tǒng)內(nèi)核中可能引起安全性問(wèn)題的部分從內(nèi)核中剔除出去，從而使系統(tǒng)更安全。操作系統(tǒng)平臺(tái)的安全措施包括：采用安全性較高的操作系統(tǒng)；對(duì)操作系統(tǒng)的安全配置；利用安全掃描系統(tǒng)檢查操作系統(tǒng)的漏洞等。美國(guó)國(guó)防部技術(shù)標(biāo)準(zhǔn)把操作系統(tǒng)的安全等級(jí)分成了D1、C1、C2、B1、B2、B3、A 級(jí)，其安全等級(jí)由低到高。目前主要的操作系統(tǒng)的安全等級(jí)都是C2 級(jí),其特征包括：①用戶(hù)必須通過(guò)用戶(hù)注冊(cè)名和口令讓系統(tǒng)識(shí)別；②系統(tǒng)可以根據(jù)用戶(hù)注冊(cè)名決定用戶(hù)訪問(wèn)資源的權(quán)限；③系統(tǒng)可以對(duì)系統(tǒng)中發(fā)生的每一件事進(jìn)行審核和記錄；④可以創(chuàng)建其他具有系統(tǒng)管理權(quán)限的用戶(hù)。

3.2.4 身份驗(yàn)證技術(shù)身份驗(yàn)證技術(shù)

身份驗(yàn)證技術(shù)身份驗(yàn)證技術(shù)是用戶(hù)向系統(tǒng)出示自己身份證明的過(guò)程。身份認(rèn)證是系統(tǒng)查核用戶(hù)身份證明的過(guò)程。這兩個(gè)過(guò)程是判明和確認(rèn)通信雙方真實(shí)身份的兩個(gè)重要環(huán)節(jié)，人們常把這兩項(xiàng)工作統(tǒng)稱(chēng)為身份驗(yàn)證。它的安全機(jī)制在于首先對(duì)發(fā)出請(qǐng)求的用戶(hù)進(jìn)行身份驗(yàn)證，確認(rèn)其是否為合法的用戶(hù)，如是合法用戶(hù)，再審核該用戶(hù)是否有權(quán)對(duì)他所請(qǐng)求的服務(wù)或主機(jī)進(jìn)行訪問(wèn)。從加密算法上來(lái)講，其身份驗(yàn)證是建立在對(duì)稱(chēng)加密的基礎(chǔ)上的。

3.2.5 網(wǎng)絡(luò)防病毒技術(shù)

在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒具有不可估量的威脅性和破壞力。CIH 病毒及愛(ài)蟲(chóng)病毒就足以證明如果不重視計(jì)算機(jī)網(wǎng)絡(luò)防病毒，那可能給社會(huì)造成災(zāi)難性的后果，因此計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全技術(shù)中重要的一環(huán)。網(wǎng)絡(luò)防病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測(cè)，工作站上采用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問(wèn)權(quán)限等。防病毒必須從網(wǎng)絡(luò)整體考慮，從方便管理人員的能，在夜間對(duì)全網(wǎng)的客戶(hù)機(jī)進(jìn)行掃描，檢查病毒情況；利用在線報(bào)警功能，網(wǎng)絡(luò)上每一臺(tái)機(jī)器出現(xiàn)故障、病毒侵入時(shí)，網(wǎng)絡(luò)管理人員都能及時(shí)知道，從而從管理中心處予以解決。

總結(jié)

隨著信息技術(shù)的飛速發(fā)展，影響通信網(wǎng)絡(luò)安全的各種因素也會(huì)不斷強(qiáng)化，因此計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題也越來(lái)越受到人們的重視，以上我們簡(jiǎn)要的分析了計(jì)算機(jī)網(wǎng)絡(luò)存在的幾種安全隱患，并探討了計(jì)算機(jī)網(wǎng)絡(luò)的幾種安全防范措施。

總的來(lái)說(shuō)，網(wǎng)絡(luò)安全不僅僅是技術(shù)問(wèn)題，同時(shí)也是一個(gè)安全管理問(wèn)題。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

參考文獻(xiàn)

【1】 陶陽(yáng).計(jì)算機(jī)與網(wǎng)絡(luò)安全 重慶：重慶大學(xué)出版社，2005.【2】 田園.網(wǎng)絡(luò)安全教程 北京：人民郵電出版社，2009.【3】 馮登國(guó).《計(jì)算機(jī)通信網(wǎng)絡(luò)安全》，清華大學(xué)出版社，2001

【4】 陳斌.《計(jì)算機(jī)網(wǎng)絡(luò)安全與防御》，信息技術(shù)與網(wǎng)絡(luò)服務(wù)，2006（4）：35-37.【5】 William Stallings.網(wǎng)絡(luò)安全基礎(chǔ)教程：應(yīng)用與標(biāo)準(zhǔn)（英文影印版），清華大學(xué)出版社，2006（7）

【6】 趙樹(shù)升等.《信息安全原理與實(shí)現(xiàn)》，清華大學(xué)出版社，2004（9）

第五篇：淺論計(jì)算機(jī)網(wǎng)絡(luò)安全

淺論計(jì)算機(jī)網(wǎng)絡(luò)安全

方倩

（北京科技職業(yè)學(xué)院 新聞傳播學(xué)院，北京 延慶 102100）

摘要計(jì)算機(jī)網(wǎng)絡(luò)為人們帶來(lái)了極大的便利，同時(shí)也在經(jīng)受著垃圾郵件、病毒和黑客的沖擊，因此計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)變得越來(lái)越重要。而建立和實(shí)施嚴(yán)密的網(wǎng)絡(luò)安全策略和健全安全制度是真正實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。

關(guān)鍵詞網(wǎng)絡(luò)安全；防火墻；加密

1引言

在信息化社會(huì)的今天，計(jì)算機(jī)網(wǎng)絡(luò)在政治、軍事、金觸、電信、科教等方面的作用日益增強(qiáng)。社會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴(lài)也日益增大。特別是Internet的出現(xiàn)，使得計(jì)算機(jī)網(wǎng)絡(luò)的資源共享進(jìn)一步加強(qiáng)。隨著網(wǎng)絡(luò)上各種新興業(yè)務(wù)的興起，如電子商務(wù)、網(wǎng)絡(luò)銀行（Network Bank），使得網(wǎng)絡(luò)安全技術(shù)的研究成了計(jì)算機(jī)與通信界的一個(gè)熱點(diǎn)，并且成了信息科學(xué)的一個(gè)重要研究領(lǐng)域，日益受到人們的關(guān)注。

Internet一方面給人們帶來(lái)了經(jīng)濟(jì)上的實(shí)惠、通信上的便捷，但另一方面黑客和病毒的侵?jǐn)_又把人們置于進(jìn)退兩難的境地。據(jù)FBI統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全問(wèn)題所造成的經(jīng)濟(jì)損失高達(dá)75億美元，而全球平均每20秒鐘就發(fā)生一起 Internet計(jì)算機(jī)侵入事件。

2003年夏天，IT人士在此期間受到了“沖擊波”和“霸王蟲(chóng)”蠕蟲(chóng)的雙面夾擊?！皼_擊波”（又稱(chēng)“Lovsan”或“MSBlast”）首先發(fā)起攻擊。病毒最早于當(dāng)年8月11日被檢測(cè)出來(lái)并迅速傳播，兩天之內(nèi)就達(dá)到了攻擊頂峰。病毒通過(guò)網(wǎng)絡(luò)連接和網(wǎng)絡(luò)流量傳播，利用了Windows 2000/XP的一個(gè)弱點(diǎn)進(jìn)行攻擊，被激活以后，它會(huì)向計(jì)算機(jī)用戶(hù)展示一個(gè)惡意對(duì)話框，提示系統(tǒng)將關(guān)閉。在病毒的可執(zhí)行文件MSBLAST.EXE代碼中隱藏著這些信息：“桑（San），我只想說(shuō)愛(ài)你！”以及“比爾·蓋茨（Bill Gates）你為什么讓這種事情發(fā)生？別再斂財(cái)了，修補(bǔ)你的軟件吧！”。損失估計(jì)為20億~100億美元，受到感染的計(jì)算機(jī)不計(jì)其數(shù)?！皼_擊波”一走，“霸王蟲(chóng)”蠕蟲(chóng)便接踵而至，對(duì)企業(yè)和家庭計(jì)算機(jī)用戶(hù)而言，2003年8月可謂悲慘的一月。最具破壞力的變種是Sobig.F，它 8月19日開(kāi)始迅速傳播，在最初的24小時(shí)之內(nèi)，自身復(fù)制了100萬(wàn)次，創(chuàng)下了歷史紀(jì)錄（后來(lái)被Mydoom病毒打破）。病毒偽裝在文件名看似無(wú)害的郵件附件之中。被激活之后，這個(gè)蠕蟲(chóng)便向用戶(hù)的本地文件類(lèi)型中發(fā)現(xiàn)的電子郵件地址傳播自身。最終結(jié)果是造成互聯(lián)網(wǎng)流量激增。損失估計(jì)為50億~100億美元，超過(guò)100萬(wàn)臺(tái)計(jì)算機(jī)被感染.。

我國(guó)的信息化剛剛起步，但發(fā)展迅速，網(wǎng)絡(luò)已滲透到國(guó)民經(jīng)濟(jì)的各個(gè)領(lǐng)域。在短短的幾年時(shí)間里，也發(fā)生了多起利用網(wǎng)絡(luò)進(jìn)行犯罪的事件，給國(guó)家、企業(yè)和個(gè)人造成了重大的經(jīng)濟(jì)損失和危害。特別是金融部門(mén)的犯罪，更是令人觸目驚心。近兩年來(lái)，“網(wǎng)游大盜”、“熊貓燒香”、“德芙”、“QQ木馬”、“灰鴿子”等木馬病毒日益猖獗，以盜取用戶(hù)密碼賬號(hào)、個(gè)人隱私、商業(yè)秘密、網(wǎng)絡(luò)財(cái)產(chǎn)為目的。調(diào)查顯示，趨利性成為計(jì)算機(jī)病毒發(fā)展的新趨勢(shì)。網(wǎng)上制作、販賣(mài)病毒、木馬的活動(dòng)日益猖獗，利用病毒、木馬技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、詐騙的網(wǎng)絡(luò)犯罪活動(dòng)呈快速上升趨勢(shì)，網(wǎng)上治安形勢(shì)非常嚴(yán)峻。

面對(duì)如此嚴(yán)重的種種威脅，必須采取有力的措施來(lái)保證計(jì)算機(jī)網(wǎng)絡(luò)的安全，但現(xiàn)在的大多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)在建設(shè)之初都忽略了安全問(wèn)題，即使考慮了安全，也只是把安全機(jī)制建立在物理安全機(jī)制上。2計(jì)算機(jī)網(wǎng)絡(luò)安全的含義

從本質(zhì)上講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息的安全。計(jì)算機(jī)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或惡意的原因而遭到破壞、更改、泄漏，系統(tǒng)能連續(xù)可靠地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不被中斷。

從廣義上看，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控制性的相關(guān)技術(shù)理論，都是網(wǎng)絡(luò)安全研究的領(lǐng)域。

從用戶(hù)角度來(lái)說(shuō)，他們希望涉及個(gè)人隱私或商業(yè)機(jī)密的信息在網(wǎng)絡(luò)上受到機(jī)密性、完整性和真實(shí)性的保護(hù)，同時(shí)希望保存在計(jì)算機(jī)系統(tǒng)上的信息不受用戶(hù)的非授權(quán)訪問(wèn)和破壞。

從網(wǎng)絡(luò)運(yùn)行和管理角度說(shuō)，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問(wèn)、讀寫(xiě)等操作受到保護(hù)和控制，避免出現(xiàn)“陷門(mén)”、病毒、非法存取、拒絕訪問(wèn)等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。

從社會(huì)教育的角度來(lái)說(shuō)，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類(lèi)的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制。網(wǎng)絡(luò)安全的特征

3.1保密性

保密性是指信息不泄漏給非授權(quán)用戶(hù)、實(shí)體或過(guò)程，或供其利用的特性。3.2完整性

完整性是指數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲(chǔ)或傳輸過(guò)程中保持不被修改，不被破壞和丟失的特性。

3.3可控性

可控性是指對(duì)信息的傳播及內(nèi)容具有控制能力。3.4可用性

可用性是指可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性。網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)，破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的常運(yùn)行等都屬于對(duì)可用性的攻擊。

4網(wǎng)絡(luò)安全面臨的威脅

從技術(shù)角度上看，Internet的不安全因素，一方面是由于它是面向用戶(hù)的，所有資源通過(guò)網(wǎng)絡(luò)共享，另一方面是它的技術(shù)是開(kāi)放和標(biāo)準(zhǔn)的。因特網(wǎng)是基于TCP／IP協(xié)議的，TCP／IP協(xié)議在當(dāng)初設(shè)計(jì)和后來(lái)應(yīng)用時(shí)并未考慮到安全因素，也未曾預(yù)料后來(lái)應(yīng)用的爆發(fā)增長(zhǎng)。這就好像在一間封閉的房間內(nèi)打開(kāi)緊閉的玻璃窗，新鮮空氣進(jìn)來(lái)發(fā)，但大量的灰塵、蒼蠅和蚊子等害蟲(chóng)也跟著進(jìn)來(lái)。網(wǎng)絡(luò)世界也一樣，開(kāi)放的、免費(fèi)的信息帶來(lái)了溝通的便利。但垃圾郵件、網(wǎng)絡(luò)病毒以及黑客等使網(wǎng)絡(luò)經(jīng)受著前所未有的沖擊。計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅大體上分為兩種：一是對(duì)網(wǎng)絡(luò)中信息的威脅；二是對(duì)網(wǎng)絡(luò)中設(shè)備的威脅。影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多，有些是有意的，有些是無(wú)意的；可能是人為的，可能是非人為的，也可能是外來(lái)黑客對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使用，歸結(jié)起來(lái)，針對(duì)網(wǎng)絡(luò)安全的威脅主要有以下四點(diǎn)[1]。

4.1人為的無(wú)意失

誤

操作員使用不當(dāng)，安全配置不規(guī)范造成的安全漏洞，用戶(hù)安全意識(shí)不強(qiáng)，用戶(hù)口令選擇不慎，用戶(hù)將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。

4.2人為的惡意攻擊

此類(lèi)攻擊又分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性、完整性和真實(shí)性；另一類(lèi)是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息，它不會(huì)導(dǎo)致系統(tǒng)中信息的任何改動(dòng)，而且系統(tǒng)的操作和狀態(tài)也不會(huì)被改變，因此這類(lèi)攻擊主要威脅信息的保密性。

4.3網(wǎng)絡(luò)軟件的漏洞和“后門(mén)”

網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的，例如TCP／IP協(xié)議的安全問(wèn)題，然而這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，曾經(jīng)出現(xiàn)過(guò)的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，大部分就是因?yàn)檐浖旧淼拇嗳跣院桶踩胧┎煌晟扑兄碌目喙?。另外，軟件的“后門(mén)”是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦“后門(mén)”打開(kāi)，其造成的后果將不堪設(shè)想。

4.4人自身的因素

人自身的因素主要是指非授權(quán)訪問(wèn)、信息漏洞或丟失、破壞完整性。非授權(quán)訪問(wèn)是指預(yù)先沒(méi)有經(jīng)過(guò)同意就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源。信息丟失包括在傳輸中丟失或在傳輸介質(zhì)中丟失兩種，例如黑客常使用竊收方式，利用可能的非法手段竊取系統(tǒng)中的信息資源和敏感信息。

5網(wǎng)絡(luò)安全的安全策略

5.1 物理安全策略

保證計(jì)算機(jī)信息系統(tǒng)中各種設(shè)備的物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。它主要包括三個(gè)方面：①環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；②設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；③媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。顯然，為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除在網(wǎng)絡(luò)規(guī)劃和場(chǎng)地、環(huán)境等方面要求之外，還要防止系統(tǒng)信息在空間的擴(kuò)散。計(jì)算機(jī)系統(tǒng)通過(guò)電磁輻射使信息被截獲而失秘的案例已經(jīng)很多，在理論和技術(shù)支持下的驗(yàn)證工作也證實(shí)這種截取距離在幾百甚至可達(dá)千米的復(fù)原顯示給計(jì)算機(jī)系統(tǒng)信息的保密工作帶來(lái)了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴(kuò)散，通常是在物理上安裝一定的防護(hù)措施，來(lái)減少或干擾擴(kuò)散出去的空間信號(hào)，這成為政府、軍事、金融機(jī)構(gòu)在建設(shè)信息中心時(shí)首要考慮的問(wèn)題。[2]

5.2訪問(wèn)控制策略

訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)，它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種安全策略必須配合才能真正起到保護(hù)作用。訪問(wèn)控制可以說(shuō)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。

5.2.1入網(wǎng)訪問(wèn)控制

入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制，它控制哪些用戶(hù)能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶(hù)入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站上入網(wǎng)。用戶(hù)的入網(wǎng)訪問(wèn)控制分為三個(gè)步驟：用戶(hù)名的識(shí)別與驗(yàn)證、用戶(hù)口令的識(shí)別與驗(yàn)證、用戶(hù)賬號(hào)的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過(guò)，該用戶(hù)便不能進(jìn)入該網(wǎng)絡(luò)。用戶(hù)名或用戶(hù)賬號(hào)是所有計(jì)算機(jī)中最基本的安全形式。實(shí)際上，這種“用戶(hù) ID+密碼”的方法來(lái)進(jìn)行用戶(hù)的身份認(rèn)證和訪問(wèn)控制的方案隱含著一些問(wèn)題。例如，密碼容易被忘記，如果用戶(hù)忘記了他的密碼，就不能進(jìn)入系統(tǒng)。另外，密碼被別人盜取則更是一件可怕的事情，因?yàn)橛眯牟涣嫉娜丝赡軙?huì)進(jìn)一步竊取公司機(jī)密數(shù)據(jù)、可能會(huì)盜用別人的名義做不正當(dāng)?shù)氖虑?，甚至從銀行、ATM 終端上提取別人的巨額存款。隨著科技的進(jìn)步，生物識(shí)別（Biometric）技術(shù)已經(jīng)開(kāi)始走入了我們的日常生活之中。目前在世界上許多公司和研究機(jī)構(gòu)都在生物識(shí)別技術(shù)的研究中取得一些突破性技術(shù)，從而推出了許多新產(chǎn)品。目前比較流行的是虹膜識(shí)別技術(shù)和指紋識(shí)別技術(shù)。指紋識(shí)別作為識(shí)別技術(shù)已經(jīng)有很長(zhǎng)的歷史了，它通過(guò)分析指紋的全局特征和指紋的局部特征，并從中抽取非常詳盡的特征值來(lái)確認(rèn)一個(gè)人的身份。平均每個(gè)指紋都有幾個(gè)獨(dú)一無(wú)二可測(cè)量的特征點(diǎn)，每個(gè)特征點(diǎn)都有大約七個(gè)特征，我們的十個(gè)手指產(chǎn)生最少4900個(gè)獨(dú)立可測(cè)量的特征，這足夠來(lái)確認(rèn)指紋識(shí)別是否是一個(gè)更加可靠的鑒別方式。另外，掃描指紋的速度很快，使用非常方便；讀取指紋時(shí)，用戶(hù)必須將手指與指紋采集頭相互接觸，與指紋采集頭直接接觸是讀取人體生物特征最可靠的方法；指紋采集頭可以更加小型化，并且價(jià)格會(huì)更加的低廉。這都是指紋識(shí)別技術(shù)能夠占領(lǐng)大部分市場(chǎng)的主要原因。

5.2.2網(wǎng)絡(luò)的權(quán)限控制

網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶(hù)和用戶(hù)組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶(hù)和用戶(hù)組可以訪問(wèn)哪些目錄、子目錄、文件和其它資源。[3]可以指定用戶(hù)對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。我們可以根據(jù)訪問(wèn)權(quán)限將用戶(hù)分為以下幾類(lèi)：①特殊用戶(hù)（即系統(tǒng)管理員）；②一般用戶(hù)，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限；⑧審計(jì)用戶(hù)。負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。用戶(hù)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限可以用一個(gè)訪問(wèn)控制表來(lái)描述。

5.2.3 屬性安全控制

當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問(wèn)屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來(lái)。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性，用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限對(duì)應(yīng)一張?jiān)L問(wèn)控制表，用以表明用戶(hù)對(duì)資源的訪問(wèn)能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何有效權(quán)限。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件，防止用戶(hù)對(duì)目錄和文件的誤刪除、執(zhí)行修改和顯示等。

5.2.4網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制

網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控，服務(wù)器應(yīng)記錄用戶(hù)對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，對(duì)非法的網(wǎng)絡(luò)訪問(wèn)，服務(wù)器應(yīng)以圖形、文字、聲音、短消息等形式報(bào)警，以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖進(jìn)入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會(huì)自動(dòng)記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù)，如果非法訪問(wèn)的次數(shù)達(dá)到設(shè)定數(shù)值，那么該賬戶(hù)將被自動(dòng)鎖定。

5.2.5防火墻控制

防火墻是近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施。它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱(chēng)之為控制進(jìn)／出兩個(gè)方向的門(mén)檻，它用于加強(qiáng)網(wǎng)絡(luò)間的訪問(wèn)控制，防止外部用戶(hù)非法使用內(nèi)部網(wǎng)的資源，保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)竊取。從實(shí)現(xiàn)上看，防火墻實(shí)際上是一個(gè)獨(dú)立的進(jìn)程或一組緊密聯(lián)系的進(jìn)程，運(yùn)行于路由器或服務(wù)器上，控制經(jīng)過(guò)它們的網(wǎng)絡(luò)應(yīng)用服務(wù)及傳輸?shù)臄?shù)據(jù)。目前較流行的一種防火墻是代理防火墻，又稱(chēng)為應(yīng)用層網(wǎng)關(guān)級(jí)防火墻，它由代理服務(wù)器和過(guò)濾路由器組成，它將過(guò)濾路由器和軟件代理技術(shù)結(jié)合在一起。過(guò)濾路由器負(fù)責(zé)網(wǎng)絡(luò)互連，并對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格選擇，然后將篩選過(guò)的數(shù)據(jù)傳送給代理服務(wù)器。代理服務(wù)器起到外部網(wǎng)絡(luò)申請(qǐng)?jiān)L問(wèn)內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用，其功能類(lèi)似于一個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)器，它主要控制哪些用戶(hù)能訪問(wèn)哪些服務(wù)類(lèi)型。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)某種網(wǎng)絡(luò)服務(wù)時(shí)，代理服務(wù)器接受申請(qǐng)，然后根據(jù)其服務(wù)類(lèi)型、服務(wù)內(nèi)容、被服務(wù)的對(duì)象、服務(wù)者申請(qǐng)的時(shí)間、申請(qǐng)者的域名范圍來(lái)決定是否接受此項(xiàng)服務(wù)，若接受，它就向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)這項(xiàng)請(qǐng)求。

5.3信息加密策略

在各類(lèi)網(wǎng)絡(luò)安全技術(shù)中，加密技術(shù)是基礎(chǔ)。信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。信息加密是保證信息機(jī)密性的惟一方法。加密的基本思想是通過(guò)變換信息的表示形式來(lái)偽裝需要保護(hù)的敏感信息，將機(jī)密信息變成難以讀懂的亂碼型文字。據(jù)不完全統(tǒng)計(jì)，目前已經(jīng)公開(kāi)發(fā)表的各種加密算法多達(dá)數(shù)百種。如果以密鑰為標(biāo)準(zhǔn)，可以將這些算法分為單鑰密碼（又稱(chēng)對(duì)稱(chēng)密鑰或私鑰密碼）和雙鑰密碼（又稱(chēng)非對(duì)稱(chēng)密碼或公鑰密碼）。單鑰密碼的特點(diǎn)是無(wú)論加密還是解密都使用同一種密鑰，因此，此密碼體制的安全性就是密鑰的安全。若密鑰泄漏，則此密碼系統(tǒng)就被攻破。最有影響的單鑰密碼是 1997年美國(guó)國(guó)家標(biāo)準(zhǔn)局頒布的DES算法，最近頒布的AES算法作為 DES算法的替代，正在逐漸被人們接受。單鑰密碼的優(yōu)點(diǎn)是安全性高，加解碼速度快。它的缺點(diǎn)是：密鑰的管理困難；無(wú)法解決消息確認(rèn)問(wèn)題；缺乏自動(dòng)檢測(cè)密鑰泄漏的能力。在雙鑰體制下，加密密鑰與解密密鑰不同，此時(shí)不需要安全信道來(lái)傳送密鑰，而只需利用本地密鑰發(fā)生器產(chǎn)生解密密鑰，并以此來(lái)控制解密操作。雙鑰密碼是1796年W.Diffie和M.E.Hellman提出來(lái)的一種新型密碼體制。由于雙鑰密碼體制的加密和解密不同，且能公開(kāi)加密密鑰，而僅需保密解密密鑰，所以不存在密鑰管理問(wèn)題。雙鑰密碼還有一個(gè)優(yōu)點(diǎn)就是可以擁有數(shù)字簽名等新功能。最有名的雙鑰密碼是1977年由 Rivest、Shamir和 Adleman提出來(lái)的RSA密碼體制。雙鑰密碼的缺點(diǎn)是算法比較復(fù)雜，加解密速度慢。在實(shí)際使用過(guò)程中，加密通常是采用單鑰和雙鑰密碼相結(jié)合的混合加密體制，即加／解密時(shí)采用單鑰密碼，傳送密鑰時(shí)采用雙鑰密碼。這樣既解決了密鑰管理的困難，又解決了加／解密速度慢的問(wèn)題。這無(wú)疑是目前解決網(wǎng)絡(luò)上傳輸信息安全問(wèn)題的一種較好的解決辦法。

5.4網(wǎng)絡(luò)安全管理策略

面對(duì)網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理，因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問(wèn)題，所以應(yīng)引起各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門(mén)領(lǐng)導(dǎo)的重視。

5.4.1安全管理的基本內(nèi)容

網(wǎng)絡(luò)安全管理的根本目標(biāo)是保證網(wǎng)絡(luò)和系統(tǒng)的可用性。網(wǎng)絡(luò)的安全管理涉及網(wǎng)絡(luò)安全規(guī)劃、網(wǎng)絡(luò)安全管理機(jī)構(gòu)、網(wǎng)絡(luò)安全管理系統(tǒng)和網(wǎng)絡(luò)安全教育等。它的具體內(nèi)容包括：標(biāo)識(shí)要保護(hù)的對(duì)象；確定保護(hù)的手段；找出可能的威脅；實(shí)現(xiàn)具體的安全措施；要求有較好的性?xún)r(jià)比；了解網(wǎng)絡(luò)的安全狀態(tài)，根據(jù)情況變化重新評(píng)估并改進(jìn)安全措施。[4]其中，安全管理原則包括：

5.4.2多人負(fù)責(zé)原則

每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠(chéng)可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作已得到保障。以下各項(xiàng)是與安全有關(guān)的活動(dòng)：①訪問(wèn)控制使用權(quán)限的發(fā)放與回收；②信息處理系統(tǒng)使用的媒介發(fā)放與回收；③處理保密信息；④硬件和軟件的維護(hù)；⑤系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改；⑥重要程序和數(shù)據(jù)的刪除和銷(xiāo)毀等。

5.4.3 任期有限原則

一般地講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專(zhuān)有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行休假制度，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。

5.4.4職責(zé)分離原則

在信息處理系統(tǒng)工作的人員不要打聽(tīng)、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。出于對(duì)安全的考慮。下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開(kāi)。

①計(jì)算機(jī)操作與計(jì)算機(jī)編程；②機(jī)密資料的接收和傳送；③安全管理和系統(tǒng)管理；④應(yīng)用程序和系統(tǒng)程序的編制；⑤訪問(wèn)證件的管理與其它工作；⑥計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。

5.4.5安全管理的實(shí)現(xiàn)

信息系統(tǒng)的安全管理部門(mén)應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是①根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級(jí)；②根據(jù)確定的安全等級(jí)，確定安全管理的范圍；③制訂相應(yīng)的機(jī)房出入管理制度；④制訂嚴(yán)格的操作規(guī)程；⑤制訂完備的系統(tǒng)維護(hù)制度；⑥制訂應(yīng)急措施。

5.5操作系統(tǒng)安全[5]

操作系統(tǒng)安全是系統(tǒng)安全的基礎(chǔ)，要建立一個(gè)安全的信息系統(tǒng)，不僅要考慮具體的安全產(chǎn)品，包防火墻、安全路由器、安全網(wǎng)關(guān)、IP隧道、虛擬網(wǎng)、侵檢測(cè)、漏洞掃描、安全測(cè)試和監(jiān)控產(chǎn)品，來(lái)被動(dòng)封堵安全漏洞，而且還要特別注意操作系統(tǒng)平臺(tái)的安全問(wèn)題。操作系統(tǒng)作為計(jì)算機(jī)系統(tǒng)的基礎(chǔ)軟件用來(lái)管理計(jì)算機(jī)資源的，它直接利用計(jì)算機(jī)硬件為用戶(hù)提供使用和編程接口。各種應(yīng)用軟件均建立在操作系統(tǒng)提供的系統(tǒng)軟件平臺(tái)之上，上層的應(yīng)用軟件要想獲得運(yùn)行的高可靠性和信息的完整性、保密性，必須依賴(lài)于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ)，任何想像中的、脫離操作系統(tǒng)的應(yīng)用軟件的高安全性就如同幻想在沙灘上建立堅(jiān)不可摧的堡壘一樣，無(wú)根基可言。不難想象，在網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)系統(tǒng)安全性依賴(lài)于網(wǎng)絡(luò)中各主機(jī)系統(tǒng)的安全性，而主系統(tǒng)的安全性正是由其操作系統(tǒng)的安全性所決定的，沒(méi)有安全的操作系統(tǒng)的支持，網(wǎng)絡(luò)安全也毫無(wú)基礎(chǔ)可言。所以，操作系統(tǒng)安全是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的基礎(chǔ)。

6結(jié)束語(yǔ)

網(wǎng)絡(luò)安全技術(shù)是伴隨著網(wǎng)絡(luò)的誕生而出現(xiàn)的。但直到80年代末才引起關(guān)注，90年代在國(guó)外獲得了飛速的發(fā)展。近幾年頻繁出現(xiàn)的安全事故引起各國(guó)計(jì)算機(jī)安全界的高度重視，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)也因此出現(xiàn)了日新月異的變化。安全核心系統(tǒng)的安全隧道、身份認(rèn)證、網(wǎng)絡(luò)底層數(shù)據(jù)加密和網(wǎng)絡(luò)入侵主動(dòng)監(jiān)測(cè)等越來(lái)越高深復(fù)雜的安全技術(shù)級(jí)別從不同層次加強(qiáng)了計(jì)算機(jī)網(wǎng)絡(luò)的整體安全性?；ヂ?lián)網(wǎng)已經(jīng)日漸融入到人類(lèi)社會(huì)的各個(gè)方面中，網(wǎng)絡(luò)防護(hù)與網(wǎng)絡(luò)攻擊之間的斗爭(zhēng)也將更加激烈。未來(lái)網(wǎng)絡(luò)安全技術(shù)將會(huì)涉及計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)層次中，隨著網(wǎng)絡(luò)在商業(yè)方面的應(yīng)用日益廣泛，圍繞電子商務(wù)安全的防護(hù)技術(shù)將在未來(lái)幾年中成為重點(diǎn)，如身份認(rèn)證、授權(quán)檢查、數(shù)據(jù)安全、通信安全等將對(duì)電子商務(wù)安全產(chǎn)生決定性影響。

參考文獻(xiàn)

[1]楚狂等．網(wǎng)絡(luò)安全與防火墻技術(shù)．人民郵出電版社，2000，（4）

[2]黃允聰?shù)龋W(wǎng)絡(luò)安全基礎(chǔ)．清華大學(xué)出版社，2000，（9）

[3]聶元銘等．網(wǎng)絡(luò)信息安全技術(shù)．科學(xué)出版社2001，（7）

[4]黃儉等．計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)．東南大學(xué)出版社，2001，（8）

[5]蔡立軍．計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)．中國(guó)水利水電出版社，2005

收稿日期：7月5日修改日期：7月12日

作者簡(jiǎn)介：方倩（1982-），女，本科，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)。2005年8月至今在北京科技職業(yè)學(xué)院任計(jì)算機(jī)專(zhuān)業(yè)教師。