第一篇：關(guān)于針對網(wǎng)絡(luò)協(xié)議層次和網(wǎng)絡(luò)安全技術(shù)

HR Planning System Integration and Upgrading Research of

A Suzhou Institution

網(wǎng)絡(luò)協(xié)議層次和網(wǎng)絡(luò)安全技術(shù)

中國聯(lián)通樂山分公司邱東昕

摘要：本文首先介紹了網(wǎng)絡(luò)安全的形勢，然后推出了開放系統(tǒng)互聯(lián)（OSI）參考模型網(wǎng)絡(luò)層次結(jié)構(gòu)，分析了各層的功能。在此基礎(chǔ)上依不同的網(wǎng)絡(luò)層次，介紹了各種網(wǎng)絡(luò)安全技術(shù)。關(guān)鍵詞：網(wǎng)絡(luò)，協(xié)議，安全技術(shù)。

一、隨著互聯(lián)網(wǎng)的快速發(fā)展，各種安全技術(shù)應(yīng)運而生。

INTERNET是世界上最大的互聯(lián)網(wǎng)，它是全球最大的信息超級市場，目前Internet正成為人們不可缺少的工具。INTERNET已遍及全世界，為一億以上的用戶提供了多樣化的網(wǎng)絡(luò)與信息服務(wù)。在INTERNET上，EMAIL、新聞?wù)搲任谋拘畔V為傳播，網(wǎng)上電話、網(wǎng)上傳真、靜態(tài)及視頻等通信技術(shù)也在不斷地發(fā)展與完善。在信息化社會中，網(wǎng)絡(luò)信息系統(tǒng)將在政治、軍事、金融、商業(yè)、交通、電信、文教等方面發(fā)揮越來越大的作用。社會對網(wǎng)絡(luò)信息系統(tǒng)的依賴也日益增強。

當商戶、銀行與其他商業(yè)與金融機構(gòu)在電子商務(wù)熱潮中紛紛進入Internet，以政府上網(wǎng)為標志的數(shù)字政府使國家機關(guān)與Internet互聯(lián)。通過Internet 實現(xiàn)包括個人、企業(yè)與政府的全社會信息共享已逐步成為現(xiàn)實。隨著網(wǎng)絡(luò)應(yīng)用范圍的不斷擴大，對網(wǎng)絡(luò)的各類攻擊與破壞也與日俱增。無論政府、商務(wù)，還是金融、媒體的網(wǎng)站都在不同程度上受到入侵與破壞。

“五一”期間，中美之間爆發(fā)了有史以來規(guī)模最大的“網(wǎng)絡(luò)戰(zhàn)爭”，數(shù)以萬計的中美黑客相互攻擊對方的網(wǎng)站，數(shù)千家中美網(wǎng)站被黑或拒絕服務(wù)。根據(jù)國家計算機網(wǎng)絡(luò)與信息安全管理辦公室（以下簡稱“國信安辦”）的統(tǒng)計，“五一”中美黑客交手期間，中國被黑網(wǎng)站中，．ｇｏｖ的網(wǎng)站占３６．７％。

當然，自Internet問世以來，資源共享和信息安全一直作為一對矛盾體而存在著，隨著，計算機網(wǎng)絡(luò)資源共享的進一步加強隨之而來的信息安全問題也日益突出，各種安全技術(shù)也應(yīng)運而生，加密技術(shù)、防火墻技術(shù)、代理技術(shù)、認證技術(shù)等等，多少讓人有些無所適從。下面我們將從網(wǎng)絡(luò)協(xié)議的層次來談一下這些安全技術(shù)，以利于用戶正確、合理地應(yīng)用各種安全技術(shù)。

二、網(wǎng)絡(luò)的協(xié)議層次。

國際標準化組織建立了一個通信系統(tǒng)的標準化框架，稱為開放系統(tǒng)互聯(lián)（OSI）參考模型。OSI體系結(jié)構(gòu)將通信過程定義為七個層面的組合，每層均有其自身的以及與其他層相關(guān)的特定功能。每一層均覆蓋下一層的處理過程，并有效地將其與高層功能隔離。通過這種方

法，每層都提供一組必要的功能，并為其上的一層提供一組服務(wù)。

各層之間的隔離使得當給定的某層做了改動后，只要其支持的服務(wù)保持不變。模型的其他層就不受影響。這種分層結(jié)構(gòu)的主要好處之一是允許用戶混合使用符合OSI模型的通信產(chǎn)品，并剪裁其通信系統(tǒng)以滿足特定的網(wǎng)絡(luò)需求。

OSI參考模型如下圖：

?物 理 層(Physical Layer)物理層的任務(wù)就是為它的上一層提供一個物理連接，以及它們的機械、電氣、功能和過程特性。如規(guī)定使用電纜和接頭 的類型，傳送信號的電壓等。在這一層，數(shù)據(jù)還沒有被組織，僅作為原始的位流或電氣電壓處理，單位是比特。

?數(shù) 據(jù) 鏈 路 層(Data Link Layer)

數(shù)據(jù)鏈路層負責在兩個相鄰結(jié)點間的線路上，無差錯的傳送以幀為單位的數(shù)據(jù)。每一幀包括一定數(shù)量的數(shù)據(jù)和一些必要的控制信息。和物理層相似，數(shù)據(jù)鏈路層要負責建立、維持和釋放數(shù)據(jù)鏈路的連接。在傳送數(shù)據(jù)時，如果接收點檢測到所傳數(shù)據(jù)中有差錯，就要通知發(fā)方重發(fā)這一幀。

?網(wǎng) 絡(luò) 層(Network Layer)

在計算機網(wǎng)絡(luò)中進行通信的兩個計算機之間可能會經(jīng)過很多個數(shù)據(jù)鏈路，也可能還要經(jīng)過很多通信子網(wǎng)。網(wǎng)絡(luò)層的任務(wù)就是選擇合適的網(wǎng)間路由和交換結(jié)點，確保數(shù)據(jù)及時傳送。網(wǎng)絡(luò)層將數(shù)據(jù)鏈路層提供的幀組成數(shù)據(jù)包，包中封裝有網(wǎng)絡(luò)層包頭，其中含有邏輯地址信息— —源站點和目的站點地址的網(wǎng)絡(luò)地址。

?傳 輸 層(Transport Layer)

該層的任務(wù)時根據(jù)通信子網(wǎng)的特性最佳的利用網(wǎng)絡(luò)資源，并以可靠和經(jīng)濟的方式，為兩個端系統(tǒng)（也就是源站和目的站）的會話層之間，提供建立、維護和取消傳輸連接的功能，負責可靠地傳輸數(shù)據(jù)。在這一層，信息的傳送單位是報文。

?會 話 層(Session Layer)

這一層也可以稱為會晤層或?qū)υ拰?，在會話層及以上的高層次中，?shù)據(jù)傳送的單位不再另外命名，統(tǒng)稱為報文。會話層不參與具體的傳輸，它提供包括訪問驗證和會話管理在內(nèi)的建立和維護應(yīng)用之間通信的機制。

?表 示 層(Presentation Layer)

這一層主要解決擁護信息的語法表示問題。它將欲交換的數(shù)據(jù)從適合于某一用戶的抽象語法，轉(zhuǎn)換為適合于OSI系統(tǒng)內(nèi)部使用的傳送語法。即提供格式化的表示和轉(zhuǎn)換數(shù)據(jù)服務(wù)。

?應(yīng) 用 層(Application Layer)

應(yīng)用層確定進程之間通信的性質(zhì)以滿足用戶需要以及提供網(wǎng)絡(luò)與用戶應(yīng)用軟件之間的接口服務(wù)。

以上各層中，網(wǎng)絡(luò)層最流行的協(xié)議是網(wǎng)際協(xié)議（IP），其報文格式如下：

流行的傳輸層協(xié)議是傳輸控制協(xié)議（TCP），用戶數(shù)據(jù)報協(xié)議（UDP），其中TCP的報文格式如下：

之所以介紹以上兩種報文格式，是因為這兩種報文是黑客經(jīng)常攻擊的對象，所以也是網(wǎng)絡(luò)安全非常重要的環(huán)節(jié)。

三、由網(wǎng)絡(luò)的開放系統(tǒng)互聯(lián)（OSI）參考模型層次看網(wǎng)絡(luò)的安全技術(shù)。

物理層的安全技術(shù)主要可以從以下幾個方面來考慮。

．供配電系統(tǒng)：數(shù)據(jù)中心的供配電系統(tǒng)要求能保證對機房內(nèi)的主機、服務(wù)器、網(wǎng)絡(luò)設(shè)備、通訊設(shè)備等的電源供應(yīng)在任何情況下都不會間斷，做到無單點失效和平穩(wěn)可靠，這就要求兩路以上的市電供應(yīng)，Ｎ＋１冗余的自備發(fā)電機系統(tǒng)，還有能保證足夠時間供電的ＵＰＳ系統(tǒng)。

．防雷接地系統(tǒng)：為了保證數(shù)據(jù)中心機房的各種設(shè)備安全，要求機房設(shè)有四種接地形式，即計算機專用直流邏輯地、配電系統(tǒng)交流工作地、安全保護地、防雷保護地。

．消防報警及自動滅火系統(tǒng)：為實現(xiàn)火災自動滅火功能，在數(shù)據(jù)中心的各個地方，還應(yīng)該設(shè)計火災自動監(jiān)測及報警系統(tǒng)，以便能自動監(jiān)測火災的發(fā)生，并且啟動自動滅火系統(tǒng)和報警系統(tǒng)。

．門禁系統(tǒng)：對于大型數(shù)據(jù)中心，安全易用的門禁系統(tǒng)可以保證數(shù)據(jù)中心的物理安全，同時也可提高管理的效率，其中需要注意的原則是安全可靠、簡單易用、分級制度、中央控制和多種識別方式的結(jié)合。

．保安監(jiān)控系統(tǒng)：數(shù)據(jù)中心的保安監(jiān)控包括幾個系統(tǒng)的監(jiān)控：閉路監(jiān)視系統(tǒng)、通道報警系統(tǒng)和人工監(jiān)控系統(tǒng)。

數(shù)據(jù)鏈路層相關(guān)的安全技術(shù)的一個例子是基于MAC地址的VLAN。

人們在LAN上經(jīng)常傳送一些保密的、關(guān)鍵性的數(shù)據(jù)。保密的數(shù)據(jù)應(yīng)提供訪問控制等安全手段。一個有效和容易實現(xiàn)的方法是將網(wǎng)絡(luò)分段成幾個不同的廣播組，網(wǎng)絡(luò)管理員限制了LAN中用戶的數(shù)量，禁止未經(jīng)允許而訪問VLAN中的應(yīng)用。交換端口可以基于應(yīng)用類型和訪問特權(quán)來進行分組，被限制的應(yīng)用程序和資源一般置于安全性VLAN中?；贛AC地址的VLAN，要求交換機對站點的MAC地址和交換機端口進行跟蹤，在新站點入網(wǎng)時，根據(jù)需要將其劃歸至某一個VLAN。不論該站點在網(wǎng)絡(luò)中怎樣移動，由于其MAC地址保持不變，因此用戶不需對網(wǎng)絡(luò)地址重新配置。

網(wǎng)絡(luò)及傳輸層相關(guān)的安全技術(shù)的一個例子是包過濾技術(shù)。

包過濾技術(shù)：通常安裝在路由器上（網(wǎng)絡(luò)層），對數(shù)據(jù)進行選擇，它以IP包信息為基礎(chǔ)，對IP源地址，IP目標地址、封裝協(xié)議（TCP/UDP/ICMP/IPtunnel）、端口號等進行篩選，在OSI協(xié)議的網(wǎng)絡(luò)層進行。最常用的防火墻技術(shù)之一就是包過濾技術(shù)。

會話層相關(guān)的安全技術(shù)是信息確認技術(shù)。

安全系統(tǒng)的建立都依賴于系統(tǒng)用戶之間存在的各種信任關(guān)系，目前在安全解決方案中，多采用二種確認方式。一種是第三方信任，另一種是直接信任，以防止信息被非法竊取或偽造，可靠的信息確認技術(shù)應(yīng)具有：具有合法身份的用戶可以校驗所接收的信息是否真實可靠，并且十分清楚發(fā)送方是誰；發(fā)送信息者必須是合法身份用戶，任何人不可能冒名頂替?zhèn)卧煨畔?；出現(xiàn)異常時，可由認證系統(tǒng)進行處理。目前，信息確認技術(shù)已較成熟，如信息認證，用戶認證和密鑰認證，數(shù)字簽名等，為信息安全提供了可靠保障。

表示層相關(guān)的安全技術(shù)是加密技術(shù)。

網(wǎng)絡(luò)安全中，加密技術(shù)種類繁多，它是保障信息安全最關(guān)鍵和最基本的技術(shù)手段和理論基礎(chǔ)，常用的加密技術(shù)分為軟件加密和硬件加密。1999年國家頒布了《商用密碼使用條例》，信息加密的方法有對稱密鑰加密和非對稱加密，二種方法各有其之所長。

* 對稱密鑰加密，在此方法中加密和解密使用同樣的密鑰，目前廣泛采用的密鑰加密標準是DES算法，DES的優(yōu)勢在于加密解密速度快、算法易實現(xiàn)、安全性好，缺點是密鑰長度短、密碼空間小，“窮舉”方式進攻的代價小，它們機制就是采取初始置換、密鑰生成、乘積變換、逆初始置換等幾個環(huán)節(jié)。

* 非對稱密鑰加密，在此方法中加密和解密使用不同密鑰，即公開密鑰和秘密密鑰，公開密鑰用于機密性信息的加密；秘密密鑰用于對加密信息的解密。一般采用RSA算法，優(yōu)點在于易實現(xiàn)密鑰管理，便于數(shù)字簽名。不足是算法較復雜，加密解密花費時間長。

應(yīng)用層相關(guān)的安全技術(shù)是代理服務(wù)技術(shù)。

代理服務(wù)技術(shù)：通常由二部分構(gòu)成，服務(wù)端程序和客戶端程序、客戶端程序與中間節(jié)點（Proxy Server）連接，中間節(jié)點與要訪問的外部服務(wù)器實際連接，與包過濾防火墻不同之處在于內(nèi)部網(wǎng)和外部網(wǎng)之間不存在直接連接，同時提供審計和日志服務(wù)。

由于代理服務(wù)程序工作在應(yīng)用層，對外屏蔽了網(wǎng)絡(luò)層的IP地址，所以以代理服務(wù)技術(shù)對付黑客攻擊是非常行之有效的。

以上由網(wǎng)絡(luò)協(xié)議的層次討論了當前的主要安全技術(shù)，主要目的是方便大家在網(wǎng)絡(luò)應(yīng)用中

綜合考慮安全方案，正確、合理、高效地應(yīng)用各種安全技術(shù)。

第二篇：網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)安全技術(shù)

——防火墻技術(shù)與病毒

摘 要：

計算機網(wǎng)絡(luò)安全，指致力于解決諸如如何有效進行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段。而計算機網(wǎng)絡(luò)安全主要包括計算機網(wǎng)絡(luò)安全的概況、虛擬網(wǎng)技術(shù)、防火墻技術(shù)、入侵檢測技術(shù), 安全掃描技術(shù), 電子認證和數(shù)字簽名技術(shù).VPN技術(shù)、數(shù)據(jù)安全、計算機病毒等。防火墻技術(shù)作為時下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用戶的切身利益。針對網(wǎng)絡(luò)安全獨立元素——防火墻技術(shù)，通過對防火墻日志文件的分析，設(shè)計相應(yīng)的數(shù)學模型和軟件雛形，采用打分制的方法，判斷系統(tǒng)的安全等級，實現(xiàn)對目標網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風險評估，為提高系統(tǒng)的安全性提供科學依據(jù)。本文將以最常見的WORD宏病毒為例來解釋計算機病毒傳播過程。

關(guān)鍵詞：網(wǎng)絡(luò)安全 防火墻技術(shù) 計算機病毒

1.1 研究背景

隨著互聯(lián)網(wǎng)的普及和發(fā)展，尤其是Internet的廣泛使用，使計算機應(yīng)用更加廣泛與深入。同時，我們不得不注意到，網(wǎng)絡(luò)雖然功能強大，也有其脆弱易受到攻擊的一面。據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟損失高達75億美元，而全求平均每20秒鐘就發(fā)生一起Internet計算機侵入事件。在我國，每年因黑客入侵、計算機病毒的破壞也造成了巨大的經(jīng)濟損失。人們在利用網(wǎng)絡(luò)的優(yōu)越性的同時，對網(wǎng)絡(luò)安全問題也決不能忽視。如何建立比較安全的網(wǎng)絡(luò)體系，值得我們關(guān)注研究。

1.2 計算機病毒簡介

計算機病毒是指那些具有自我復制能力的計算機程序, 它能影響計算機軟件、硬件的正常運行, 破壞數(shù)據(jù)的正確與完整。計算機病毒的來源多種多樣, 有的是計算機工作人員或業(yè)余愛好者為了純粹尋開心而制造出來的;有的則是軟件公司為保護自己的產(chǎn)品被非法拷貝而制造的報復性懲罰, 因為他們發(fā)現(xiàn)病毒比加密對付非法拷貝更有效且更有威脅, 這種情況助長了病毒的傳播。還有一種情況就是蓄意破壞, 它分為個人行為和政府行為兩種, 個人行為多為雇員對雇主的報復行為, 而政府行為則是有組織的戰(zhàn)略戰(zhàn)術(shù)手段。另外有的病毒還是用于研究或?qū)嶒灦O(shè)計的“有用”程序, 由于某種原因失去控制擴散出實驗室, 從而成為危害四方的計算機病毒。

1987 年, 計算機用戶忽然發(fā)現(xiàn), 在世界的各個角落, 幾乎同時出現(xiàn)了形形色色的計算機病毒。Brain, Lenig h, IBM 圣誕樹, 黑色星期五, 特別是近期發(fā)現(xiàn)的幾種病毒, 其名氣也最大, 它們是: 臺灣一號病毒、DIR-Ⅱ病毒、幽靈病毒、米開朗基羅病毒等, 至今, 病毒種類已超過一萬種。

1988 年底, 我國國家統(tǒng)計系統(tǒng)發(fā)現(xiàn)小球病毒。隨后, 中國有色金屬總公司所屬昆明、天津、成都等地的一些單位, 全國一些科研部門和國家機關(guān)也相繼發(fā)現(xiàn)病毒入侵。自從“中國炸彈”病毒出現(xiàn)后,已發(fā)現(xiàn)越來越多的國產(chǎn)病毒。比如目前國內(nèi)主要有:感染W(wǎng)indow s3.x 的“V3783”,感染W(wǎng)indow s95/ 98的“CIH”病毒。

縱觀計算機病毒的發(fā)展歷史, 我們不難看出, 計算機病毒已從簡單的引導型、文件型病毒或它們的混合型發(fā)展到了多形性病毒、欺騙性病毒、破壞性病毒。已從攻擊安全性較低的DOS平臺發(fā)展到攻擊安全性較高的Window s95/ 98平臺;從破壞磁盤數(shù)據(jù)發(fā)展到直接對硬件芯片進行攻擊。1995 年宏病毒的出現(xiàn), 使病毒從感染可執(zhí)行文件過渡到感染某些非純粹的數(shù)據(jù)文件。最近有資料顯示已發(fā)現(xiàn)JAVA病毒, 各種跡象表明病毒正向著各個領(lǐng)域滲透, 這些新病毒更隱秘, 破壞性更強。

計算機病毒的種類很多, 不同種類的病毒有著各自不同的特征, 它們有的以感染文件為主、有的以感染系統(tǒng)引導區(qū)為主, 大多數(shù)病毒只是開個小小的玩笑。

按傳染方式分類可分為引導型病毒、文件型病毒和混合型病毒3種。引導型病毒主要是感染磁盤的引導區(qū), 系統(tǒng)從包含了病毒的磁盤啟動時傳播, 它一般不對磁盤文件進行感染;文件型病毒一般只傳染磁盤上的可執(zhí)行文件(COM, EXE), 其特點是附著于正常程序文件, 成為程序文件的一個外殼或部件;混合型病毒則兼有以上兩種病毒的特點, 既感染引導區(qū)又感染文件, 因此擴大了這種病毒的傳染途徑。

按連接方式分類可分為源碼型病毒、入侵型病毒和操作系統(tǒng)型病毒等3 種。其中源碼型病毒主要攻擊高級語言編寫的源程序, 它會將自己插入到系統(tǒng)的源程序中, 并隨源程序一起編譯、連接成可執(zhí)行文件, 從而導致剛剛生成的可執(zhí)行文件直接帶毒;入侵型病毒用自身代替正常程序中的部分模塊或堆棧區(qū)的病毒, 它只攻擊某些特定程序, 針對性強;操作系統(tǒng)型病毒是用其自身部分加入或替代操作系統(tǒng)的部分功能, 危害性較大。

病毒按程序運行平臺分類可分為DOS 病毒、Windows 病毒、WindowsNT病毒、OS/2 病毒等, 它們分別是發(fā)作于DOS,Windows9X,WindowsNT, OS/2等操作系統(tǒng)平臺上的病毒。而計算機病毒的主要危害：不同的計算機病毒有不同的破壞行為, 其中有代表性的行為如下: 一是攻擊系統(tǒng)數(shù)據(jù)區(qū), 包括硬盤的主引導扇區(qū)、Boot 扇區(qū)、FAT 表、文件目錄。一般來說, 攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒, 受損的數(shù)據(jù)不易恢復。二是攻擊文件, 包括刪除、改名、替換文件內(nèi)容、刪除部分程序代碼、內(nèi)容顛倒、變碎片等等。三是攻擊內(nèi)存。

1.3防火墻概述

隨著Internet的迅速發(fā)展，網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域，網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時由于黑客入侵以及網(wǎng)絡(luò)病毒的問題，使得網(wǎng)絡(luò)安全問題越來越突出。因此，保護網(wǎng)絡(luò)資源不被非授權(quán)訪問，阻止病毒的傳播感染顯得尤為重要。就目前而言，對于局部網(wǎng)絡(luò)的保護，防火墻仍然不失為一種有效的手段，防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。其中包過濾作為最早發(fā)展起來的一種技術(shù)，其應(yīng)用非常廣泛。

防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預測的、潛在破壞性的侵入。[4]防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù)，是實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。

2.防火墻的原理及分類

顧名思義，包過濾防火墻[9]就是把接收到的每個數(shù)據(jù)包同預先設(shè)定的包過濾規(guī)則相比較，從而決定是否阻塞或通過。過濾規(guī)則是基于網(wǎng)絡(luò)層IP包包頭信息的比較。包過濾防火墻工作在網(wǎng)絡(luò)層，IP包的包頭中包含源、目的IP地址，封裝協(xié)議類型(TCP，UDP，ICMP或IP Tunnel)，TCP/UDP端口號，ICMP消息類型，TCP包頭中的ACK等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配，則數(shù)據(jù)包按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配，則防火墻丟棄數(shù)據(jù)包;如果沒有匹配規(guī)則，則按缺省情況處理。包過濾防火墻是速度最快的防火墻，這是因為它處于網(wǎng)絡(luò)層，并且只是粗略的檢查連接的正確性，所以在一般的傳統(tǒng)路由器上就可以實現(xiàn)，對用戶來說都是透明的。但是它的安全程度較低，很容易暴露內(nèi)部網(wǎng)絡(luò)，使之遭受攻擊。例如，HTTP。通常是使用80端口。如果公司的安全策略允許內(nèi)部員工訪問網(wǎng)站，包過濾防火墻可能設(shè)置允所有80端口的連接通過，這時，意識到這一漏洞的外部人員可以在沒有被認證的情況下進入私有網(wǎng)絡(luò)。包過濾防火墻的維護比較困難，定義過濾規(guī)則也比較復雜，因為任何一條過濾規(guī)則的不完善都會給網(wǎng)絡(luò)黑客造成可乘之機。同時，包過濾防火墻一般無法提供完善的日志。

應(yīng)用級代理技術(shù)通過在OSI的最高層檢查每一個IP包，從而實現(xiàn)安全策略。代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流，而代理技術(shù)一直處理到應(yīng)用層，在應(yīng)用層實現(xiàn)防火墻功能。它的代理功能，就是在防火墻處終止客戶連接并初始化一個新的連接到受保護的內(nèi)部網(wǎng)絡(luò)。這一內(nèi)建代理機制提供額外的安全，這是因為它將內(nèi)部和外部網(wǎng)絡(luò)隔離開來，使網(wǎng)絡(luò)外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進行探測變得困難，更重要的是能夠讓網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)服務(wù)進行全面的控制。但是，這將花費更多的處理時間，并且由于代理防火墻支持的應(yīng)用有限，每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比如訪問WEB站點的HTTP，用于文件傳輸?shù)腇TP，用于E一MAIL的SMTP/POP3等等。如果某種應(yīng)用沒有安裝代理程序，那么該項服務(wù)就不被支持并且不能通過防火墻進行轉(zhuǎn)發(fā);同時升級一種應(yīng)用時，相應(yīng)的代理程序也必須同時升級。

代理服務(wù)(Proxy Service)也稱鏈路級網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾[10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點而引入的防火墻技術(shù)，其特點是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應(yīng)用層的“鏈接”，由兩個終止代理服務(wù)器上的“鏈接”來實現(xiàn)，外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計算機系統(tǒng)的作用。此外，代理服務(wù)也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時 也常結(jié)合入過濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。

復合型防火墻：由于對更高安全性的要求，常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來，形成復合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機防火墻體系結(jié)構(gòu)，在該結(jié)構(gòu)中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡(luò)，通過在分組過濾器路由器或防火墻上過濾規(guī)則的設(shè)置，使堡壘機成為Internet上其他節(jié)點所能到達的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。執(zhí)行save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定IP時實現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護功能了。

3.1防火墻包過濾技術(shù)發(fā)展趨勢

(1)安全策略功能

一些防火墻廠商把在AAA系統(tǒng)上運用的用戶認證及其服務(wù)擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗證的防火墻通常是采用應(yīng)用級網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網(wǎng)絡(luò)通信帶來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。

(2)多級過濾技術(shù)

所謂多級過濾技術(shù)，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾(網(wǎng)絡(luò)層)一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù)。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補以上各種單獨過濾技術(shù)的不足。

這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這個概念出發(fā)，又有很多內(nèi)容可以擴展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。

(3)功能擴展

功能擴展是指一種集成多種功能的設(shè)計趨勢，包括VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵檢測這樣的主流功能，都被集成到防火墻產(chǎn)品中了，很多時候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主，還是以某個功能為主了，即其已經(jīng)逐漸向我們普遍稱之為IPS（入侵防御系統(tǒng)）的產(chǎn)品轉(zhuǎn)化了。有些防火墻集成了防病毒功能，通常被稱之為“病毒防火墻”，當然目前主要還是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更加積極。擁有病毒防護功能的防火墻可以大大減少公司的損失。

3.1防火墻的體系結(jié)構(gòu)發(fā)展趨勢

隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更加具有靈活性?；贏SIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。參考文獻

[1] 艾軍.防火墻體系結(jié)構(gòu)及功能分析[J].電腦知識與技術(shù).2004，(s):79一82.[2] 高峰.許南山.防火墻包過濾規(guī)則問題的研究[M].計算機應(yīng)用.2003，23(6):311一312.[3] 孟濤、楊磊.防火墻和安全審計[M].計算機安全.2004，(4):17一18.[4] 鄭林.防火墻原理入門[Z].E企業(yè).2000.[5] 魏利華.防火墻技術(shù)及其性能研究.能源研究與信息.2004，20(l):57一62

[6] 李劍，劉美華，曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學報.2002，2(l):59一61

[7] 王衛(wèi)平，陳文惠，朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006，(8):24一27

[8] 付歌，楊明福.一個快速的二維數(shù)據(jù)包分類算法.計算機工程.2004，30(6):76一78

[9] 付歌，楊明福，王興軍.基于空間分解的數(shù)據(jù)包分類技術(shù).計算機工程與應(yīng)用.2004(8):63一65

[10] 〕韓曉非，王學光，楊明福.位并行數(shù)據(jù)包分類算法研究.華東理工大學學報.2003，29(5):504一508

[11] 韓曉非，楊明福，王學光.基于元組空間的位并行包分類算法.計算機工程與應(yīng)用.2003，(29):188一192

[12] 馮東雷，張勇，白英彩.一種高性能包分類漸增式更新算法.計算機研究與發(fā)展.2003，40(3):387一392

第三篇：網(wǎng)絡(luò)安全技術(shù)

網(wǎng)絡(luò)信息安全與策略

【摘要】隨著我國網(wǎng)路信息科技的高速發(fā)展，網(wǎng)絡(luò)信息安全問題日益突出。以網(wǎng)絡(luò)方式獲取信息和交流信息已成為現(xiàn)代信息社會的一個重要特征。網(wǎng)絡(luò)給人們生活帶來極大便利的同時，也給許多部門、單位和個人帶來了極大的風險，造成嚴重的經(jīng)濟損失。最新報道：央視《經(jīng)濟半小時》播出“我國黑客木馬形成產(chǎn)業(yè) 2009年收入可超百億元”節(jié)目，可以看出黑客通過網(wǎng)絡(luò)傳播木馬的嚴重性。本文主要探討了網(wǎng)絡(luò)信息安全中存在的威脅，并提出了相應(yīng)的技術(shù)保障和對策?！娟P(guān)鍵字】網(wǎng)絡(luò)

信息

安全

黑客

病毒

技術(shù)

一、網(wǎng)絡(luò)信息安全的內(nèi)涵

在網(wǎng)絡(luò)出現(xiàn)以前，信息安全是指為建立信息處理系統(tǒng)而采取的技術(shù)上和管理上的安全保護以實現(xiàn)電子信息的保密性、完整性、可用性、可控性和不可否認性。當今信息時代，計算機網(wǎng)絡(luò)已經(jīng)成為一種不可缺少的信息交換工具。然而，由于計算機網(wǎng)絡(luò)具有開放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性，再加上本身存在的技術(shù)弱點和人為的疏忽，致使網(wǎng)絡(luò)易受計算機病毒、黑客或惡意軟件的侵害。面對侵襲網(wǎng)絡(luò)安全的種種威脅，必須考慮信息的安全這個至關(guān)重要的問題。

網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全，即硬件平臺、操作系統(tǒng)、應(yīng)用軟件;運行服務(wù)安全，即保證服務(wù)的連續(xù)性、高效率。信息安全則主要是指數(shù)據(jù)安全，包括數(shù)據(jù)加密、備份、程序等。

1.網(wǎng)絡(luò)信息安全的內(nèi)容

(1)硬件實體安全。即網(wǎng)絡(luò)硬件和存儲媒體的安全。要保護這些硬設(shè)施不受損害，能夠正常工作；預防地震、水災、颶風、雷擊等的措施；滿足設(shè)備正常運行環(huán)境要求；防止電磁輻射、泄露；媒體的安全備份及管理等。

(2)軟件系統(tǒng)安全。即計算機程序和文檔資料及其網(wǎng)絡(luò)中各種軟件不被篡改或破壞，不被非法操作或誤操作，功能不會失效，不被非法復制。

(3)運行服務(wù)安全。即網(wǎng)絡(luò)中的各個信息系統(tǒng)能夠正常運行并能正常地通過網(wǎng)絡(luò)交流信息。通過對網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備運行狀況的監(jiān)測，發(fā)現(xiàn)不安全因素能及時報警并采取措施改變不安全狀態(tài)，保障網(wǎng)絡(luò)系統(tǒng)正常運行。

(4)數(shù)據(jù)信息安全。即網(wǎng)絡(luò)中存儲及流通數(shù)據(jù)的安全。要保護網(wǎng)絡(luò)中的數(shù)據(jù)文件和數(shù)據(jù)信息在傳輸過程中不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網(wǎng)絡(luò)安全最根本的目的。

2.網(wǎng)絡(luò)信息安全的目標

(1)保密性。保密性是指利用密碼技術(shù)對敏感信息進行加密處理同時采取抑制、屏蔽措施防止電磁泄漏，保證信息只有合法用戶才能利用，而不會泄露給非授權(quán)人、實休。

(2)完整性。完整性是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不被插人、不遲延、不亂序和不丟失的特性。對網(wǎng)絡(luò)信息安全進行攻擊的最終目的就是破壞信息的完整性。

(3)可用性?？捎眯允侵负戏ㄓ脩粼L問并能按要求順序使用信息的特性，即保證合法用戶在需要時可以訪問到信息。

(4)可控性?？煽匦允侵甘跈?quán)機構(gòu)對信息的內(nèi)容及傳播具有控制的能力的特性，可以控制授權(quán)范圍內(nèi)的信息流向以及方式。

(5)不可否認性。不可否認性是指在信息交流過程結(jié)束后，通信雙方不能抵賴曾經(jīng)做出的行為，也不能否認曾經(jīng)接收到對方的信息。

二、網(wǎng)絡(luò)信息安全面臨的威脅

1.操作系統(tǒng)自身的因素

無論哪一種操作系統(tǒng)，其體系結(jié)構(gòu)本身就是不安全的一種因素。由于操作系統(tǒng)的程序是可以動態(tài)連接的，包過I/O的驅(qū)動程序與系統(tǒng)服務(wù)都可以用打補丁的方法升級和進行動態(tài)連接。而這種動態(tài)連接正是計算機病毒產(chǎn)生的溫床，該產(chǎn)品的廠商可以使用，“黑客”成員也可以使用。因此，這種打補丁與滲透開發(fā)的操作系統(tǒng)是不可能從根本上解決安全問題。

2.網(wǎng)絡(luò)協(xié)議和軟件的安全缺陷

因特網(wǎng)的基石是TCP/IP協(xié)議簇，該協(xié)議簇在實現(xiàn)上力求效率，而沒有考慮安全因素，因為那樣無疑增大代碼量，從而降低了TCP/IP的運行效率，所以說TCP/IP本身在設(shè)計上就是不安全的。很容易被竊聽和欺騙：大多數(shù)因特網(wǎng)上的流量是沒有加密的，電子郵件口令、文件傳輸很容易被監(jiān)聽和劫持。很多基于TCP/IP的應(yīng)用服務(wù)都在不同程度上存在著安全問題，這很容易被一些對TCP/IP十分了解的人所利用，一些新的處于測試階級的服務(wù)有更多的安全缺陷。缺乏安全策略：許多站點在防火墻配置上無意識地擴大了訪問權(quán)限，忽視了這些權(quán)限可能會被內(nèi)部人員濫用，黑客從一些服務(wù)中可以獲得有用的信息，而網(wǎng)絡(luò)維護人員卻不知道應(yīng)該禁止這種服務(wù)。配置的復雜性：訪問控制的配置一般十分復雜，所以很容易被錯誤配置，從而給黑客以可乘之機。TCP/IP是被公布于世的，了解它的人越多被人破壞的可能性越大。現(xiàn)在，銀行之間在專用網(wǎng)上傳輸數(shù)據(jù)所用的協(xié)議都是保密的，這樣就可以有效地防止入侵。當然，人們不能把TCP/IP和其實現(xiàn)代碼保密，這樣不利于TCP/IP網(wǎng)絡(luò)的發(fā)展。

3.電腦黑客攻擊多樣化

進人2006年以來，網(wǎng)絡(luò)罪犯采用翻新分散式阻斷服務(wù)(DDOS)攻擊的手法，用形同互聯(lián)網(wǎng)黃頁的域名系統(tǒng)服務(wù)器來發(fā)動攻擊，擾亂在線商務(wù)。寬帶網(wǎng)絡(luò)條件下，常見的拒絕服務(wù)攻擊方式主要有兩種，一是網(wǎng)絡(luò)黑客蓄意發(fā)動的針對服務(wù)和網(wǎng)絡(luò)設(shè)備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式，造成網(wǎng)絡(luò)流量急速提高，導致網(wǎng)絡(luò)設(shè)備崩潰，或者造成網(wǎng)絡(luò)鏈路的不堪負重。

調(diào)查資料顯示，2006年初發(fā)現(xiàn)企業(yè)的系統(tǒng)承受的攻擊規(guī)模甚于以往，而且來源不是被綁架的“僵尸”電腦，而是出自于域名系統(tǒng)(DNS)服務(wù)器。一旦成為DDOS攻擊的目標，目標系統(tǒng)不論是網(wǎng)頁服務(wù)器、域名服務(wù)器，還是電子郵件服務(wù)器，都會被網(wǎng)絡(luò)上四面八方的系統(tǒng)傳來的巨量信息給淹沒。黑客的用意是借人量垃圾信息妨礙系統(tǒng)正常的信息處理，借以切斷攻擊目標對外的連線。黑客常用“僵尸”電腦連成網(wǎng)絡(luò)，把大量的查詢要求傳至開放的DNS服務(wù)器，這些查詢信息會假裝成被巨量信息攻擊的目標所傳出的，因此DNS服務(wù)器會把回應(yīng)信息傳到那個網(wǎng)址。

美國司法部的一項調(diào)查資料顯示，1998年3月到2005年2月期間，82%的人侵者掌握授權(quán)用戶或設(shè)備的數(shù)據(jù)。在傳統(tǒng)的用戶身份認證環(huán)境下，外來攻擊者僅憑盜取的相關(guān)用戶身份憑證就能以任何臺設(shè)備進人網(wǎng)絡(luò)，即使最嚴密的用戶認證保護系統(tǒng)也很難保護網(wǎng)絡(luò)安全。另外，由于企業(yè)員工可以通過任何一臺未經(jīng)確認和處理的設(shè)備，以有效合法的個人身份憑證進入網(wǎng)絡(luò)，使間諜軟件、廣告軟件、木馬程序及其它惡意程序有機可乘，嚴重威脅網(wǎng)絡(luò)系統(tǒng)的安全。有資料顯示，最近拉美國家的網(wǎng)絡(luò)詐騙活動增多，作案手段先進。犯罪活動已經(jīng)從“現(xiàn)實生活轉(zhuǎn)入虛擬世界”，網(wǎng)上詐騙活動日益增多。

4計算機病毒

計算機病毒是專門用來破壞計算機正常工作，具有高級技巧的程序。它并不獨立存在，而是寄生在其他程序之中，它具有隱蔽性、潛伏性、傳染性和極大的破壞性。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展、網(wǎng)絡(luò)空間的廣泛運用，病毒的種類急劇增加。目前全世界的計算機活體病毒達14萬多種，其傳播途徑不僅通過軟盤、硬盤傳播，還可以通過網(wǎng)絡(luò)的電子郵件和下載軟件傳播。從國家計算機病毒應(yīng)急處理中日常監(jiān)測結(jié)果來看，計算機病毒呈現(xiàn)出異?；钴S的態(tài)勢。據(jù)2001年調(diào)查，我國約73%的計算機用戶曾感染病毒,2003年上半年升至83%。其中，感染3次以上的用戶高達59%，而且病毒的破壞性較大。被病毒破壞全部數(shù)據(jù)的占14%，破壞部分數(shù)據(jù)的占57%。只要帶病毒的電腦在運行過程中滿足設(shè)計者所預定的條件，計算機病毒便會發(fā)作，輕者造成速度減慢、顯示異常、丟失文件，重者損壞硬件、造成系統(tǒng)癱瘓。

5.人性的脆弱性

人們與生俱來就有信任他人、樂于助人以及對未知事物的好奇心等弱點。狡猾的電腦黑客往往利用這些弱點，通過E-mail、偽造的Web網(wǎng)站、向特定的用戶提幾個簡單的問題的伎倆，騙取公司的保密資料或從個人用戶那里騙取網(wǎng)上購物的信用卡、用戶名和密碼，達到入侵網(wǎng)絡(luò)信息系統(tǒng)的目的，使得那些采用多種先進技術(shù)的安全保護措施形同虛設(shè)。

6管理因素

用戶安全意識淡薄, 管理不善是當前存在的一個嚴重的問題。目前我國安全管理方面存在的問題主要有: 一是缺乏強有力的權(quán)威管理機構(gòu), 由于我國網(wǎng)絡(luò)安全立法滯后, 安全管理部門受人力、技術(shù)等條件的限制影響著安全管理措施的有效實施。二是缺乏安全審計,安全審計是把與安全相關(guān)的事件記錄到安全日志中,我國現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)大多數(shù)缺少安全審計, 安全日志形同虛設(shè)。三是安全意識淡薄。人們對信息安全認識不夠, 過分依賴信息安全產(chǎn)品, 缺乏細致的內(nèi)部網(wǎng)絡(luò)管理機制, 一些用戶警惕性不高, 操作麻痹, 甚至把自己賬號隨意給他人。

三、保障網(wǎng)絡(luò)信息安全的對策和技術(shù)

1.安全通信協(xié)議和有關(guān)標準。

在網(wǎng)絡(luò)安全技術(shù)應(yīng)用領(lǐng)域，安全通信協(xié)議提供了一種標準，基于這些標準，企業(yè)可以很方便地建立自己的安全應(yīng)用系統(tǒng)。目前主要的安全通信協(xié)議有SSL（TLS）、IPsec和S/MIME SL提供基于客戶/服務(wù)器模式的安全標準，SSL（TLS）在傳輸層和應(yīng)用層之間嵌入一個子層，主要用于實現(xiàn)兩個應(yīng)用程序之間安全通訊機制，提供面向連接的保護；IP安全協(xié)議（IPsec）提供網(wǎng)關(guān)到網(wǎng)關(guān)的安全通信標準，在網(wǎng)絡(luò)層實現(xiàn)，IPsec能夠保護整個網(wǎng)絡(luò)；S/MIME在應(yīng)用層提供對信息的安全保護，主要用于信息的安全存儲、信息認證、傳輸和信息轉(zhuǎn)發(fā)。三種安全通信協(xié)議雖然均提供了類似的安全服務(wù)，但是他們的具體應(yīng)用范圍是不同的，在實際應(yīng)用中，應(yīng)根據(jù)具體情況選擇相應(yīng)的安全通信協(xié)議。

2.防火墻技術(shù)

防火墻技術(shù)是為了保證網(wǎng)絡(luò)路由安全性而在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造一個保護層。所有的內(nèi)外連接都強制性地經(jīng)過這一保護層接受檢查過濾，只有被授權(quán)的通信才允許通過。防火墻的安全意義是雙向的，一方面可以限制外部網(wǎng)對內(nèi)部網(wǎng)的訪問，另一方面也可以限制內(nèi)部網(wǎng)對外部網(wǎng)中不健康或敏感信息的訪問。同時，防火墻還可以對網(wǎng)絡(luò)存取訪問進行記錄和統(tǒng)計，對可疑動作告警，以及提供網(wǎng)絡(luò)是否受到監(jiān)視和攻擊的詳細信息。防火墻系統(tǒng)的實現(xiàn)技術(shù)一般分為兩種，一種是分組過濾技術(shù)，一種是代理服務(wù)技術(shù)。分組過濾基于路由器技術(shù)，其機理是由分組過濾路由器對IP分組進行選擇，根據(jù)特定組織機構(gòu)的網(wǎng)絡(luò)安全準則過濾掉某些IP地址分組，從而保護內(nèi)部網(wǎng)絡(luò)。代理服務(wù)技術(shù)是由一個高層應(yīng)用網(wǎng)關(guān)作為代理服務(wù)器，對于任何外部網(wǎng)的應(yīng)用連接請求首先進行安全檢查，然后再與被保護網(wǎng)絡(luò)應(yīng)用服務(wù)器連接。代理服務(wù)技術(shù)可使內(nèi)、外網(wǎng)絡(luò)信息流動受到雙向監(jiān)控。

3.訪問拉制技術(shù)

訪問控制根據(jù)用戶的身份賦予其相應(yīng)的權(quán)限，即按事先確定的規(guī)則決定主體對客體的訪問是否合法，當一主體試圖非法使用一個未經(jīng)授權(quán)使用的客體時，該機制將拒絕這一企圖，其主要通過注冊口令、用戶分組控制、文件權(quán)限控制三個層次完成。此外，審計、日志、入侵偵察及報警等對保護網(wǎng)絡(luò)安全起一定的輔助作用，只有將上述各項技術(shù)很好地配合起來，才能為網(wǎng)絡(luò)建立一道安全的屏障。

4.反病毒軟件

反病毒軟件已成為人們抵御病毒進攻的有力武器。目前的反病毒軟件具有幾項技術(shù)特色。首先, 出現(xiàn)了病毒防火墻。該技術(shù)為用戶提供了一個實時監(jiān)防止病毒發(fā)作的工具,它對用戶訪問的每一個文件進行病毒檢測, 確認無毒后才會讓系統(tǒng)接管進行下一步的工作。其次, 反病毒軟件提出了在線升級的方式。第三, 完成了統(tǒng)一的防病毒管理。第四,嵌入式查毒技術(shù)的形成, 它將殺毒引擎直接嵌掛到IE 瀏覽器和流行辦公軟件Office2003 和OfficeXP 組件當中,使其與可能發(fā)生病毒侵擾的應(yīng)用程序有機地結(jié)合為一體, 在占用系統(tǒng)資源最小的情況下查殺病毒。

5.入侵檢測技術(shù)

隨著網(wǎng)絡(luò)安全風險系數(shù)的不斷提高, 作為對防火墻及其有益的補充, IDS(入侵檢測系統(tǒng))能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生,它擴展了系統(tǒng)管理員的安全管理能力包括安全審計、監(jiān)視、進攻識別和響應(yīng), 提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)活動進行實時監(jiān)測的專用系統(tǒng), 該系統(tǒng)處于防火墻之后, 可以和防火墻及路由器配合工作, 用來檢查一個LAN 網(wǎng)段上的所有通信,記錄和禁止網(wǎng)絡(luò)活動,可以通過重新配置來禁止從防火墻外部進入的惡意流量。入侵檢測系統(tǒng)能夠?qū)W(wǎng)絡(luò)上的信息進行快速分析或在主機上對用戶進行審計分析, 通過集中控制臺來管理、檢測。

6.PKI技術(shù)

PKI是在公開密鑰理論和技術(shù)基礎(chǔ)上發(fā)展起來的一種綜合安全平臺，能夠為所有網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理，從而達到保證網(wǎng)上傳遞信息的安全、真實、完整和不可抵賴的目的。利用PKI可以方便地建立和維護一個可信的網(wǎng)絡(luò)計算環(huán)境，從而使得人們在這個無法直接相互面對的環(huán)境里，能夠確認彼此的身份和所交換的信息，能夠安全地從事商務(wù)活動。目前，PKI技術(shù)己趨于成熟，其應(yīng)用已覆蓋了從安全電子郵件、虛擬專用網(wǎng)絡(luò)(VPN),Web交互安全到電子商務(wù)、電子政務(wù)、電子事務(wù)安全的眾多領(lǐng)域，許多企業(yè)和個人已經(jīng)從PKI技術(shù)的使用中獲得了巨大的收益。

在PKI體系中，CA(CertificateAuthority，認證中心)和數(shù)字證書是密不可分的兩個部分。認證中心又叫CA中心，它是負責產(chǎn)生、分配并管理數(shù)字證書的可信賴的第三方權(quán)威機構(gòu)。認證中心是PKI安全體系的核心環(huán)節(jié)，因此又稱作PKI/CA。認證中心通常采用多層次的分級結(jié)構(gòu)，上級認證中心負責簽發(fā)和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。數(shù)字證書，又叫“數(shù)字身份證”、“數(shù)字ID”，是由認證中心發(fā)放并經(jīng)認證中心數(shù)字簽名的，包含公開密鑰擁有者以及公開密鑰相關(guān)信息的一種電子文件，可以用來證明數(shù)字證書持有者的真實身份。

7.增強網(wǎng)絡(luò)安全意識

利用講座和電視視頻直播給上網(wǎng)的朋友們普及有關(guān)網(wǎng)絡(luò)安全知識,使他們知道網(wǎng)絡(luò)中時時刻刻都存在潛在的威脅,可能會帶來經(jīng)濟損失和精神損失。同時，還要讓他們知道一切不明身份的垃圾郵件千萬不要打開，因為它可能給你的電腦帶進病毒。通過事實中的案例告訴網(wǎng)民在網(wǎng)絡(luò)中做任何事情一定不要放松自己的警惕，加強自己電腦的殺毒軟件，多關(guān)注網(wǎng)上欺騙手段的視頻?？傊?，利用一切可以利用的手段加強網(wǎng)民的網(wǎng)絡(luò)安全意識。

8.法律保護

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，大量的信息在互聯(lián)網(wǎng)上進行傳播，不可避免地會侵犯他人的合法權(quán)益，而且這種侵犯將因為互聯(lián)網(wǎng)比其他媒體更有廣泛的影響而加重侵權(quán)的嚴重程度。從這個意義上來說，一個人可以不上網(wǎng)，但是他的合法權(quán)益被他人通過互聯(lián)網(wǎng)侵犯卻是有可能的，因此，加強與互聯(lián)網(wǎng)相關(guān)的立法建設(shè)，對于全體國民都是非常重要的。

四、結(jié)論

隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)及網(wǎng)絡(luò)信息安全技術(shù)已經(jīng)深入到了社會的多個領(lǐng)域。網(wǎng)絡(luò)和信息時代給我們帶來技術(shù)進步和生活便利的同時，也給國家和個人都帶了巨大經(jīng)濟損失。網(wǎng)民要加強自己的防范意識，保證自己的財產(chǎn)不受到侵犯。我還希望國家相關(guān)部門規(guī)范網(wǎng)絡(luò)信息安全標準，加快先進技術(shù)的研發(fā)來保障網(wǎng)絡(luò)通訊的安全。同時，加強相關(guān)法律法規(guī)的力度來保證人民的根本利益，為我們提供一個安全的網(wǎng)絡(luò)環(huán)境。參考文獻：

[1]龐淑英.網(wǎng)絡(luò)信息安全技術(shù)基礎(chǔ)及應(yīng)用.2009 [2]李俊宇.信息安全技術(shù)基礎(chǔ)冶金工業(yè)出版社.2004.12 [3]王麗輝.網(wǎng)絡(luò)安全及相關(guān)技術(shù)吉林農(nóng)業(yè)科技學院學報，第19卷第2期.2005 [4]何萬敏.網(wǎng)絡(luò)信息安全與防范技術(shù)甘肅農(nóng)業(yè).2005年第1期 [5]黃慧陳閡中.針對黑客攻擊的預防措施計算機安全.2005 [6]王云峰.信息安全技術(shù)及策略[J].廣東廣播電視大學學報,2006

第四篇：【網(wǎng)絡(luò)課】網(wǎng)絡(luò)安全技術(shù)期末復習題總結(jié)

【網(wǎng)絡(luò)課】網(wǎng)絡(luò)安全技術(shù)期末復習題

一、選擇題 第一章

(B)1.由于來自于系統(tǒng)外部或內(nèi)部的攻擊者冒充為網(wǎng)絡(luò)的合法用戶獲得訪問權(quán)限的攻擊方法是下列哪一項？

A.黑客攻擊

B.社會工程學攻擊

C.操作系統(tǒng)攻擊

D.惡意代碼攻擊

（A）

2.在信息安全性中，用于提供追溯服務(wù)信息或服務(wù)源頭的是哪一項？

A.不可否認性

B.認證性

C.可用性

D.完整性

第二章

（A）

1.密碼技術(shù)的哪一個目標不能被對稱密碼技術(shù)實現(xiàn)？

A.完整性

B.保密性

C.不可否認性

D.認證性

（C）2.A想要使用非對稱密碼系統(tǒng)向B發(fā)送秘密消息。A應(yīng)該使用哪個密鑰來加密消息？

A.A的公鑰

B.A的私鑰

C.B的公鑰

D.B的私鑰

（A）

3.DES的有效密鑰長度是多少？

A.56比特

B.112比特

C.128比特

D.168比特

（C）

4.下面哪種情況最適合使用非對稱密碼系統(tǒng)？

A.公司電子郵件系統(tǒng)

B.點到點的VPN系統(tǒng) C.證書認證機構(gòu)

D.Web站點認證

（D）

5.下面哪個哈希函數(shù)最適合8位處理器？

A.SHA-256

B.SHA-512

C.MD4

D.MD2（C）

6.Grace想要使用數(shù)字簽名技術(shù)向Joe發(fā)送一則消息，為了獲得數(shù)字簽名，她應(yīng)該對哪種信息進行簽名？

A.明文消息

B.密文消息

C.明文消息摘要

D.密文消息摘要

（C）

7.Joe收由Grace簽了名的信息，請問Joe該使用哪個密鑰來驗證簽名？

A.Joe的公鑰

B.Joe的私鑰

C.Grace的公鑰

D.Grace的私鑰

第三章

（C）

1.下面哪項不屬于口令認證？

A.可重用口令認證

B.一次性口令認證

C.安全套接層認證

D.挑戰(zhàn)應(yīng)答口令認證

（C）2.公鑰認證不包括下列哪一項？

A.SSL認證

B.Kerberos認證

C.安全RPC認證

D.MD5認證

第四章

（C）

1.在TCP/IP協(xié)議安全中，下列哪一項屬于應(yīng)用層安全？

（C）

2.IPSec中有三個主要的協(xié)議用來對傳輸中的系統(tǒng)提供安全服務(wù)，不包括下列哪一項？ A.SA

B.AH A.VPNs

B.PPP C.Kerberos

D.SSL

C.CA

D.ESP 第五章

（C）

1.以下哪一項不屬于惡意代碼？

A.病毒

B.特洛伊木馬

C.系統(tǒng)漏洞

D.蠕蟲

（D）2.使授權(quán)用戶泄露安全數(shù)據(jù)或允許非授權(quán)訪問的攻擊方式稱作

A.拒絕服務(wù)攻擊

B.中間人攻擊

C.社會工程學

D.后門攻擊

第六章

（B）

1.以下哪一項不是通過實施訪問控制來阻止對敏感客體進行未授權(quán)訪問攻擊？

A.欺騙攻擊

B.暴力攻擊

C.窮舉攻擊

D.字典攻擊

（A）

2.以下哪個模型通常用來模擬現(xiàn)實的實體以及實體之間狀態(tài)的轉(zhuǎn)移？

A.狀態(tài)機模型

B.Bell-LaPadula模型

C.Clark-Wilson 模型

D.Noninterference 模型

第七章

（B）

1.以下哪一項不是通過實施訪問控制來阻止對敏感客體進行未授權(quán)訪問攻擊？

A.欺騙攻擊

B.暴力攻擊

C.窮舉攻擊

D.字典攻擊

（D）

2.常見類型的防火墻拓撲結(jié)構(gòu)以下哪一項？

A.屏蔽主機防火墻

B.屏蔽子網(wǎng)防火墻

C.雙重防火墻

D.硬件防火墻

第八章

（B）

1.對于一個入侵，下列最合適的描述是：

A.與安全事故類似

B.各種試圖超越權(quán)限設(shè)置的惡意使用

C.任何侵犯或試圖侵犯你的安全策略的行為

D.任何使用或試圖使用系統(tǒng) 資源用于犯罪目的的行為（A）

2.下列哪種安全策略可用于最小特權(quán)原則的理念：

A.白名單

B.嚴格禁止

C.寬松的控制

D.黑名單

(A)3.如果一個IDS上報了一個異常行為，但該行為是正常的，那么IDS犯了什么錯誤

A.誤報

B.漏報

C.混合式錯誤

D.版本出錯

(B)4.哪種入侵者是最危險的，為什么？

A.外部入侵者，因為他們在攻擊之前會大量的收集目標系統(tǒng)的信息。

B.內(nèi)部入侵者，因為他們掌握更多關(guān)于系統(tǒng)的信息。

C.外部入侵者，因為大部分入侵者都在外部。

D.內(nèi)部入侵者，因為很多外部入侵者都是新手。

(A)5.對于有特征的入侵行為，哪種類型的入侵檢測更適用：

A.誤用檢測

B.異常檢測

C.惡意檢測

D.外部檢測

(C)6.IDS規(guī)則的目的是什么：

A.告訴IDS檢測那些端口

B.限制系統(tǒng)行為，如果違反了，就觸發(fā)警報

C.告訴IDS那些包需要被監(jiān)測，并在包中檢測什么內(nèi)容

D.告訴防火墻哪些數(shù)據(jù)包可以穿過IDS(C)7.什么軟件可以閱讀其所在網(wǎng)絡(luò)的數(shù)據(jù)：

A.特征數(shù)據(jù)庫

B.包嗅探器

C.數(shù)據(jù)包分析引擎

D.網(wǎng)絡(luò)掃描

(A)8.哪種IDS可以檢測特定網(wǎng)段的所有流量：

A.基于網(wǎng)絡(luò)的IDS

B.基于特征的IDS

C.基于主機的IDS

D.基于知識的IDS(C)9.哪種類型的IDS可以用來標識外來攻擊的？

A.在DMZ區(qū)的HIDS

B.在防火墻與內(nèi)部網(wǎng)絡(luò)之間的NIDS

C.在外部網(wǎng)絡(luò)與防火墻之間的NIDS

D.在DMZ區(qū)的NIDS(ABCD)10.當選擇IDS時，哪些因素是你要考慮的（多選）：

A.價格

B.配置與維護IDS所需要的知 識與人力

C.互聯(lián)網(wǎng)類型

D.你所在的組織的安全策略

第九章

(D)1.Telnet命令的默認端口號是什么？

A.80

B.8080

C.21

D.23(B)2.在Windows操作系統(tǒng)中，端口號9提供什么服務(wù)？

A.給出當前日期

B.丟棄收到的所有東西

C.對受到的所有通信進行響應(yīng)

D.提供系統(tǒng)日期和時間

第十章

(C)1.內(nèi)容過濾發(fā)生在哪兩個層次？

A.應(yīng)用層和物理層

B.應(yīng)用層和鏈路層

C.應(yīng)用層和網(wǎng)絡(luò)層

D.鏈路層和網(wǎng)絡(luò)層

(D)2.病毒感染計算機系統(tǒng)并進行傳播的方式有多種，下列哪項不屬于？

A.引導扇區(qū)

B.宏滲透

C.寄生蟲

D.移動磁盤

第十一章

(B)1.可以導致軟件運行故障的因素不包括下列哪一項？

A.復雜性

B.健壯性

C.測試困難

D.軟件升級

(B)2.信息安全威脅分析法中，通過使用一種什么樣的模型來進行風險分析的計算？

A.MD5

B.Schneier

C.Hash

D.Security Assessment 第十二章

(C)1.下列哪一項不屬于發(fā)生在本地的中級別災難？

A.病毒攻擊

B.長時間的停電

C.服務(wù)出錯

D.服務(wù)器故障

(A)2.以下哪一項不屬于系統(tǒng)災難恢復的準備工作？

A.Internet信息服務(wù)

B.風險評估

C.備份介質(zhì)數(shù)據(jù)

D.應(yīng)付災難準備

第十三章

(C)1.犯罪偵查三個核心元素中不包括下列哪一項？

A.與案件有關(guān)的材料

B.案件材料的合法性

C.案件材料的邏輯性

D.線索材料

(D)2.通過對校驗和進行加密來判斷數(shù)據(jù)是否有更改的檢驗方法叫做？

A.AHSH算法

B.SHAH算法

C.SHHA算法

D.HASH算法 第十四章

(C)1.操作系統(tǒng)管理的主要系統(tǒng)資源不包括下列哪一項？

A.主存儲器

B.二級存儲器

C.三級存儲器

D.處理器

(A)2.一個系統(tǒng)使用擊鍵監(jiān)視器的原因不包括下列哪一項？

A.系統(tǒng)備份

B.惡意攻擊

C.證據(jù)收集

D.測試和質(zhì)量保證

第十五章

(A)1.注冊表中，阻止訪問特定驅(qū)動器內(nèi)容的鍵值是下列哪一項？

A.NoViewOnDrive

B.RestrictRun

C.DisableRegistryTools

D.NoClose(D)2.以下Windows用戶系統(tǒng)常見服務(wù)中，哪項是不能關(guān)閉的？

A.Internet信息服務(wù)

B.遠程登錄

C.遠程注冊

D.注冊表訪問

第十六章

(B)1.目前Web 服務(wù)安全的關(guān)鍵技術(shù)有WS-Security規(guī)范、XML簽名規(guī)范、XML加密規(guī)范以及下列哪一項？

A.SAML

B.SOAP

C.XKMS

D.OASIS(A)2.以下哪個方面不是檢驗表的主要用途？

A.遠程檢驗表

B.漏洞檢驗表

C.設(shè)置檢驗表

D.審計檢驗表

第十七章

(B)1.目前Web 服務(wù)安全的關(guān)鍵技術(shù)有WS-Security規(guī)范、XML簽名規(guī)范、XML加密規(guī)范以及下列哪一項？

A.SAML

B.SOAP

C.XKMS

D.OASIS(C)2.Web服務(wù)架構(gòu)的3 個基本操作不包括下列哪一項？

A.發(fā)布(publish)

B.綁定(bind)

C.請求(request)

D.查找(find)第十八章

(D)1.常見的通用安全原則為特權(quán)分離原則，最小特權(quán)原則，深度防御原則以

及下列哪一項？

A.物理安全策略

B.人員安全策略

C.區(qū)域安全策略

D.模糊安全策略

(C)2.數(shù)據(jù)管理策略不包括下列哪一項？

A.最長保管時間

B.最短保管時間

C.數(shù)據(jù)安全

D.數(shù)據(jù)類型

第十九章

(B)1.常見的DRP檢測類型有清單檢查，軟件測試，硬件測試以及下列哪一

項？

A.前期培訓

B.桌面練習

C.初始訓練

D.復習訓練

(C)

2.災難恢復的三種主要替換處理設(shè)施不包括下列哪一項？

A.熱門地點

B.冷門地點

C.安全地點

D.一般地點

71.關(guān)于信息安全，下列說法中正確的是_C__。信息安全等同于網(wǎng)絡(luò)安全 信息安全由技術(shù)措施實現(xiàn) 信息安全應(yīng)當技術(shù)與管理并重 管理措施在信息安全中不重要

70.編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼是__A__。計算機病毒 計算機系統(tǒng) 計算機游戲 算機程序

69.系統(tǒng)備份與普通數(shù)據(jù)備份的不同在于，它不僅備份系統(tǒng)中的數(shù)據(jù)，還備份系統(tǒng)中安裝的應(yīng)用程序、數(shù)據(jù)庫系統(tǒng)、用戶設(shè)置、系統(tǒng)參數(shù)等信息，以便迅速__A__?；謴驼麄€系統(tǒng) 恢復所有數(shù)據(jù) 恢復全部程序 恢復網(wǎng)絡(luò)設(shè)置

68.在目前的信息網(wǎng)絡(luò)中，__C__病毒是最主要的病毒類型。

67.對日志數(shù)據(jù)進行審計檢查，屬于_B___類控制措施。

66.口令機制通常用于_A___。

65.安全評估技術(shù)采用__A__這一工具，它是一種能夠自動檢測遠程或本地主機和網(wǎng)絡(luò)安全性弱點的程序。

64.身份認證的含義是_C___。

注冊一個用戶 標識一個用戶 驗證一個用戶 授權(quán)一個用戶 安全掃描器 安全掃描儀 自動掃描器 自動掃描儀 認證 標識 注冊 授權(quán) 預防 檢測 威懾 修正 引導型 文件型 網(wǎng)絡(luò)蠕蟲 木馬型 63.安全審計是一種很常見的安全控制措施，它在信息安全保障體系中，屬于_B___措施。

62.入侵檢測技術(shù)可以分為誤用檢測和_C___兩大類。

61.下列__C__機制不屬于應(yīng)用層安全。

60.信息安全管理中，_B__負責保證安全管理策略與制度符合更高層法律、法規(guī)的要求，不發(fā)生矛盾和沖突。

59.防火墻最主要被部署在_A___位置。

58.人們設(shè)計了__D__，以改善口令認證自身安全性不足的問題。

57.下列關(guān)于風險的說法，__B__是正確的56.不是計算機病毒所具有的特點__D__。傳染性 可以采取適當措施，完全清除風險 任何措施都無法完全清除風險 風險是對安全事件的確定描述 風險是固有的，無法被控制 統(tǒng)一身份管理 指紋認證 數(shù)字證書認證 動態(tài)口令認證機制 網(wǎng)絡(luò)邊界 骨干線路 重要服務(wù)器 桌面終端 組織管理 合規(guī)性管理 人員管理 制度管理 數(shù)字簽名 應(yīng)用代理 主機入侵檢測 應(yīng)用審計 應(yīng)用審計 詳細檢測 異常檢測 漏洞檢測 保護 檢測 響應(yīng) 恢復

破壞性

潛伏性 可預見性

55.傳統(tǒng)的文件型病毒以計算機操作系統(tǒng)作為攻擊對象，而現(xiàn)在越來越多的網(wǎng)絡(luò)蠕蟲病毒將攻擊范圍擴大到了__A__等重要網(wǎng)絡(luò)資源。

54.下列不屬于網(wǎng)絡(luò)蠕蟲病毒的是__C__。

53.對網(wǎng)絡(luò)層數(shù)據(jù)包進行過濾和控制的信息安全技術(shù)機制是__A__。

52.信息安全經(jīng)歷了三個發(fā)展階段，以下__B__不屬于這三個發(fā)展階段

51.公安部網(wǎng)絡(luò)違法案件舉報網(wǎng)站的網(wǎng)址是__C__。

50.下列關(guān)于信息的說法 __D__是錯誤的49.防火墻用于將Internet和內(nèi)部網(wǎng)絡(luò)隔離，（B）是防止Internet火災的硬件設(shè)施 信息是人類社會發(fā)展的重要支柱

信息本身是無形的信息具有價值，需要保護 信息可以以獨立形態(tài)存在 004km.cn 004km.cn

http://004km.cn

004km.cn 通信保密階段

加密機階段 信息安全階段 安全保障階段 防火墻

IDS Sniffer IPSec 沖擊波 SQLSLAMMER CIH 振蕩波 網(wǎng)絡(luò)帶寬 數(shù)據(jù)包

防火墻

LINUX

是網(wǎng)絡(luò)安全和信息安全的軟件和硬件設(shè)施 是保護線路不受破壞的軟件和硬件設(shè)施 是起抗電磁干擾作用的硬件設(shè)施

48..以下（D）不是包過濾防火墻主要過濾的信息

47.對動態(tài)網(wǎng)絡(luò)地址交換（NAT），不正確的說法是（B）

46.對非軍事DMZ而言，正確的解釋是（D）

45.為了降低風險，不建議使用的Internet服務(wù)是（D）

44.包過濾型防火墻原理上是基于（C）進行分析的技術(shù)

43.一般而言，Internet防火墻建立在一個網(wǎng)絡(luò)的（C）

內(nèi)部子網(wǎng)之間傳送信息的中樞 每個子網(wǎng)的內(nèi)部

內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的交叉點 部分內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的結(jié)合處 物理層 數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層 應(yīng)用層 Web服務(wù) 外部訪問內(nèi)部系統(tǒng) 內(nèi)部訪問Internet FTP服務(wù).DMZ是一個真正可信的網(wǎng)絡(luò)部分

DMZ網(wǎng)絡(luò)訪問控制策略決定允許或禁止進入DMZ通信 允許外部用戶訪問DMZ系統(tǒng)上合適的服務(wù) 以上3項都是 將很多內(nèi)部地址映射到單個真實地址 外部網(wǎng)絡(luò)地址和內(nèi)部地址一對一的映射 最多可有64000個同時的動態(tài)NAT連接 每個連接使用一個端口 源IP地址 目的IP地址

TCP源端口和目的端口 時間 42.計算機病毒是計算機系統(tǒng)中一類隱藏在（C）上蓄意破壞的搗亂程序

41.目前，VPN使用了（A）技術(shù)保證了通信的安全性

40.不屬于VPN的核心技術(shù)是（C）

39.不屬于隧道協(xié)議的是（C）

38.PPTP、L2TP和L2F隧道協(xié)議屬于（B）協(xié)議

37.將公司與外部供應(yīng)商、客戶及其他利益相關(guān)群體相連接的是（B）

內(nèi)聯(lián)網(wǎng)VPN

36.VPN的加密手段為（C）

具有加密功能的防火墻 具有加密功能的路由器

VPN內(nèi)的各臺主機對各自的信息進行相應(yīng)的加密 單獨的加密設(shè)備 外聯(lián)網(wǎng)VPN 遠程接入VPN 無線VPN 第一層隧道 第二層隧道 第三層隧道 第四層隧道 PPTP L2TP TCP/IP IPSec 隧道技術(shù) 身份認證 日志記錄 訪問控制 隧道協(xié)議、身份認證和數(shù)據(jù)加密 身份認證、數(shù)據(jù)加密 隧道協(xié)議、身份認證 隧道協(xié)議、數(shù)據(jù)加密 內(nèi)存 軟盤 存儲介質(zhì) 網(wǎng)絡(luò)

35.GRE協(xié)議的乘客協(xié)議是（D)

34.屬于第二層的VPN隧道協(xié)議有（B）

33.通常所說的移動VPN是指（A）

27.傳輸層保護的網(wǎng)絡(luò)采用的主要技術(shù)是建立在（）基礎(chǔ)上的（A）

26.屬于Web中使用的安全協(xié)議(C)

25.SSL產(chǎn)生會話密鑰的方式是（C）。

24.為了簡化管理，通常對訪問者（A），以避免訪問控制表過于龐大。

分類組織成組 嚴格限制數(shù)量

按訪問時間排序，刪除長期沒有訪問的用戶 從密鑰管理數(shù)據(jù)庫中請求獲得 每一臺客戶機分配一個密鑰的方式 隨機由客戶機產(chǎn)生并加密后通知服務(wù)器 PEM、SSL S-HTTP、S/MIME SSL、S-HTTP S/MIME、SSL 可靠的傳輸服務(wù)，安全套接字層SSL協(xié)議 不可靠的傳輸服務(wù)，S-HTTP協(xié)議 可靠的傳輸服務(wù)，S-HTTP協(xié)議

不可靠的傳輸服務(wù)，安全套接字層SSL協(xié)議 Access VPN Intranet VPN Extranet VPN 以上皆不是 IPSec PPTP GRE 以上皆不是 IP IPX AppleTalk 上述皆可 23.下列對訪問控制影響不大的是（D。

主體身份

22.訪問控制是指確定（A）以及實施訪問權(quán)限的過程。

21.可以被數(shù)據(jù)完整性機制防止的攻擊方式是（D）。

20.數(shù)據(jù)保密性安全服務(wù)的基礎(chǔ)是（D。

19.用于實現(xiàn)身份鑒別的安全機制是（A）。

18.網(wǎng)絡(luò)安全是在分布網(wǎng)絡(luò)環(huán)境中對（D）提供安全保護。

17.攻擊者截獲并記錄了從A到B的數(shù)據(jù)，然后又從早些時候所截獲的數(shù)據(jù)中提取出信息 重新發(fā)往B稱為（D）。

中間人攻擊

口令猜測器和字典攻擊 信息載體 信息的處理、傳輸 信息的存儲、訪問 上面3項都是 加密機制和數(shù)字簽名機制 加密機制和訪問控制機制 數(shù)字簽名機制和路由控制機制 訪問控制機制和路由控制機制 數(shù)據(jù)完整性機制 數(shù)字簽名機制 訪問控制機制 加密機制 假冒源地址或用戶的地址欺騙攻擊 抵賴做過信息的遞交行為 數(shù)據(jù)中途被攻擊者竊聽獲取 數(shù)據(jù)在途中被攻擊者篡改或破壞 用戶權(quán)限

可給予哪些主體訪問權(quán)利 可被用戶訪問的資源 系統(tǒng)是否遭受入侵 客體身份 訪問類型 主體與客體的類型

強力攻擊 回放攻擊

16.攻擊者用傳輸數(shù)據(jù)來沖擊網(wǎng)絡(luò)接口，使服務(wù)器過于繁忙以至于不能應(yīng)答請求的攻擊方 式是（A）。

15.最新的研究和統(tǒng)計表明，安全攻擊主要來自（B）。

14.機密性服務(wù)提供信息的保密，機密性服務(wù)包括（D）。

13.拒絕服務(wù)攻擊的后果是（E）

12.竊聽是一種（A）攻擊，攻擊者（A）將自己的系統(tǒng)插入到發(fā)送站和接收站之間。截獲是一種（A）攻擊，攻擊者（A）將自己的系統(tǒng)插入到發(fā)送站和接受站之間。

11.從攻擊方式區(qū)分攻擊類型，可分為被動攻擊和主動攻擊。被動攻擊難以（），然而（）這些攻擊是可行的；主動攻擊難以（C），然而（）這些攻擊是可行的。

阻止,檢測,阻止,檢測 檢測,阻止,檢測,阻止 檢測,阻止,阻止,檢測 被動,無須,主動,必須 主動,必須,被動,無須 主動,無須,被動,必須 被動,必須,主動,無須 信息不可用 應(yīng)用程序不可用 系統(tǒng)宕機 阻止通信 上面幾項都是 文件機密性 信息傳輸機密性 通信流的機密性 以上3項都是 接入網(wǎng) 企業(yè)內(nèi)部網(wǎng) 公用IP網(wǎng) 個人網(wǎng) 拒絕服務(wù)攻擊 地址欺騙攻擊 會話劫持

信號包探測程序攻擊

上面3項都不是

10.從安全屬性對各種網(wǎng)絡(luò)攻擊進行分類，截獲攻擊是針對（A）的攻擊。

9.從安全屬性對各種網(wǎng)絡(luò)攻擊進行分類，阻斷攻擊是針對（B）的攻擊。

8.對攻擊可能性的分析在很大程度上帶有（B）

7.“會話偵聽和劫持技術(shù)”是屬于（B）的技術(shù)。

6.信息安全的基本屬性是（D）。

5.“公開密鑰密碼體制”的含義是（C）

4.網(wǎng)絡(luò)安全最終是一個折衷的方案，即安全強度和安全操作代價的折衷，除增加安全設(shè)施投資外，還應(yīng)考慮（D）。用戶的方便性 將所有密鑰公開

將私有密鑰公開，公開密鑰保密 將公開密鑰公開，私有密鑰保密 兩個密鑰相同 機密性 可用性 完整性 上面3項都是 密碼分析還原 協(xié)議漏洞滲透 應(yīng)用漏洞分析與滲透 DOS攻擊 客觀性 主觀性 盲目性 上面3項都不是 機密性 可用性 完整性 真實性 機密性 可用性 完整性 真實性

管理的復雜性

對現(xiàn)有系統(tǒng)的影響及對不同平臺的支持 上面3項都是

3.假設(shè)使用一種加密算法，它的加密方法很簡單：將每一個字母加5，即a加密成f。這種算法的密鑰就是5，那么它屬于（A）。

2.密碼學的目的是（C）。

1.計算機網(wǎng)絡(luò)是地理上分散的多臺（C）遵循約定的通信協(xié)議，通過軟硬件互聯(lián)的系統(tǒng)

二、問答題

1.解釋身份認證的基本概念。

身份認證是指用戶必須提供他是誰的證明，這種證實客戶的真實身份與其所聲稱的身份是否相符的過程是為了限制非法用戶訪問網(wǎng)絡(luò)資源，它是其他安全機制的基礎(chǔ)。

身份認證是安全系統(tǒng)中的第一道關(guān)卡，識別身份后，由訪問監(jiān)視器根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫決定是否能夠訪問某個資源。一旦身份認證系統(tǒng)被攻破，系統(tǒng)的所有安全措施將形同虛設(shè)，黑客攻擊的目標往往就是身份認證系統(tǒng)。

2.單機狀態(tài)下驗證用戶身份的三種因素是什么？（1）用戶所知道的東西：如口令、密碼。（2）用戶所擁有的東西：如智能卡、身份證。

（3）用戶所具有的生物特征：如指紋、聲音、視網(wǎng)膜掃描、DNA等。

3.解釋訪問控制的基本概念。

訪問控制是建立在身份認證基礎(chǔ)上的，通過限制對關(guān)鍵資源的訪問，防止非法用戶的侵入或因為合法用戶的不慎操作而造成的破壞。

訪問控制的目的：限制主體對訪問客體的訪問權(quán)限（安全訪問策略），從而使計算機系統(tǒng)在合法范圍內(nèi)使用。

4.電子郵件存在哪些安全性問題？

答：1）垃圾郵件包括廣告郵件、騷擾郵件、連鎖郵件、反動郵件等。垃圾郵件會增加網(wǎng)絡(luò)負荷，影響網(wǎng)絡(luò)傳輸速度，占用郵件服務(wù)器的空間。計算機 主從計算機 自主計算機 數(shù)字設(shè)備 研究數(shù)據(jù)加密 研究數(shù)據(jù)解密 研究數(shù)據(jù)保密 研究信息安全 對稱加密技術(shù) 分組密碼技術(shù) 公鑰加密技術(shù) 單向函數(shù)密碼技術(shù) 2）詐騙郵件通常指那些帶有惡意的欺詐性郵件。利用電子郵件的快速、便宜，發(fā)信人能迅速讓大量受害者上當。3）郵件炸彈指在短時間內(nèi)向同一信箱發(fā)送大量電子郵件的行為，信箱不能承受時就會崩潰。

4）通過電子郵件傳播的病毒通常用VBScript編寫，且大多數(shù)采用附件的形式夾帶在電子郵件中。當收信人打開附件后，病毒會查詢他的通訊簿，給其上所有或部分人發(fā)信，并將自身放入附件中，以此方式繼續(xù)傳播擴散。

5.在服務(wù)器端和用戶端各有哪些方式防范垃圾郵件？

在服務(wù)器端，應(yīng)該設(shè)置發(fā)信人身份認證，以防止自己的郵件服務(wù)器被選做垃圾郵件的傳遞者?，F(xiàn)在包括不少國內(nèi)知名電子郵件提供者在內(nèi)的諸多郵件服務(wù)器被國外的拒絕垃圾郵件組織列為垃圾郵件來源。結(jié)果是：所有來自該服務(wù)器的郵件全部被拒收!

在用戶端，防范垃圾郵件有如下方式：

1）不隨便公開自己的電子郵件地址，防止其被收入垃圾郵件的發(fā)送地址列表。因為有很多軟件可以自動收集這些新聞組文章或者論壇中出現(xiàn)過的電子郵件地址。一旦被收入這些

垃圾郵件的地址列表中，一些不懷好意的收集者將出售這些電子郵件地址牟利，然后，很不幸地，這個地址將可能源源不斷地收到各種垃圾郵件。

2）盡量采用轉(zhuǎn)發(fā)的方式收信，避免直接使用ISP提供的信箱。申請一個轉(zhuǎn)發(fā)信箱地址，結(jié)合垃圾郵件過濾，然后再轉(zhuǎn)發(fā)到自己的真實信箱。實踐證明，這的確是一個非常有效的方法。只有結(jié)合使用地址過濾和字符串特征過濾才能取得最好的過濾效果。不要回復垃圾郵件，這是一個誘人進一步上當?shù)幕ㄕ小?/p>

6.什么是防火墻，為什么需要有防火墻？

答：防火墻是一種裝置，它是由軟件/硬件設(shè)備組合而成，通常處于企業(yè)的內(nèi)部局域網(wǎng)與Internet之間，限制Internet用戶對內(nèi)部網(wǎng)絡(luò)的訪問以及管理內(nèi)部用戶訪問Internet的權(quán)限。換言之，一個防火墻在一個被認為是安全和可信的內(nèi)部網(wǎng)絡(luò)和一個被認為是不那么安全和可信的外部網(wǎng)絡(luò)(通常是Internet)之間提供一個封鎖工具。

如果沒有防火墻，則整個內(nèi)部網(wǎng)絡(luò)的安全性完全依賴于每個主機，因此，所有的主機都必須達到一致的高度安全水平，這在實際操作時非常困難。而防火墻被設(shè)計為只運行專用的訪問控制軟件的設(shè)備，沒有其他的服務(wù)，因此也就意味著相對少一些缺陷和安全漏洞，這就使得安全管理變得更為方便，易于控制，也會使內(nèi)部網(wǎng)絡(luò)更加安全。

防火墻所遵循的原則是在保證網(wǎng)絡(luò)暢通的情況下，盡可能保證內(nèi)部網(wǎng)絡(luò)的安全。它是一種被動的技術(shù)，是一種靜態(tài)安全部件。

7.防火墻應(yīng)滿足的基本條件是什么？

答：作為網(wǎng)絡(luò)間實施網(wǎng)間訪問控制的一組組件的集合，防火墻應(yīng)滿足的基本條件如下：(1)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)流必須經(jīng)過防火墻。(2)只有符合安全策略的數(shù)據(jù)流才能通過防火墻。

(3)防火墻自身具有高可靠性，應(yīng)對滲透(Penetration)免疫，即它本身是不可被侵入的。

8.簡述常見的黑客攻擊過程。答：（1）目標探測和信息攫取

先確定攻擊日標并收集目標系統(tǒng)的相關(guān)信息。一般先大量收集網(wǎng)上主機的信息，然后根據(jù)各系統(tǒng)的安全性強弱確定最后的目標。

a.踩點（Footprinting）

黑客必須盡可能收集目標系統(tǒng)安全狀況的各種信息。Whois數(shù)據(jù)庫查詢可以獲得很多關(guān)于目標系統(tǒng)的注冊信息，DNS查詢(用Windows/UNIX上提供的nslookup命令客戶端)也可令黑客獲得關(guān)于目標系統(tǒng)域名、IP地址、DNS務(wù)器、郵件服務(wù)器等有用信息。此外還可以用traceroute工具獲得一些網(wǎng)絡(luò)拓撲和路由信息。b.掃描（Scanning）

在掃描階段，我們將使用各種工具和技巧(如Ping掃射、端口掃描以及操作系統(tǒng)檢測等)確定哪些系統(tǒng)存活著、它們在監(jiān)聽哪些端口(以此來判斷它們在提供哪些服務(wù))，甚至更進一步地獲知它們運行的是什么操作系統(tǒng)。c.查點（Enumeration）

從系統(tǒng)中抽取有效賬號或?qū)С鲑Y源名的過程稱為查點，這些信息很可能成為目標系統(tǒng)的禍根。比如說，一旦查點查出一個有效用戶名或共享資源，攻擊者猜出對應(yīng)的密碼或利用與資源共享協(xié)議關(guān)聯(lián)的某些脆弱點通常就只是一個時間問題了。查點技巧差不多都是特定于操作系統(tǒng)的，因此要求使用前面步驟匯集的信息。（2）

獲得訪問權(quán)（Gaining Access）

通過密碼竊聽、共享文件的野蠻攻擊、攫取密碼文件并破解或緩沖區(qū)溢出攻擊等來獲得系統(tǒng)的訪問權(quán)限。（3）

特權(quán)提升（Escalating Privilege）

在獲得一般賬戶后，黑客經(jīng)常會試圖獲得更高的權(quán)限，比如獲得系統(tǒng)管理員權(quán)限。通?？梢圆捎妹艽a破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱點等技術(shù)。（4）

竊?。⊿tealing）

對敏感數(shù)據(jù)進行篡改、添加、刪除及復制（如Windows系統(tǒng)的注冊表、UNIX的rhost文件等）。（5）

掩蓋蹤跡（Covering Tracks）

此時最重要就隱藏自己蹤跡，以防被管理員發(fā)覺，比如清除日志記錄、使用rootkits等工具。（6）

創(chuàng)建后門（Creating Bookdoor）

在系統(tǒng)的不同部分布置陷阱和后門，以便入侵者在以后仍能從容獲得特權(quán)訪問。入侵檢測與安全審計

9.什么是IDS，它有哪些基本功能？

答：入侵檢測系統(tǒng)IDS，它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門。1）監(jiān)測并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權(quán)操作； 2）核查系統(tǒng)配置和漏洞并提示管理員修補漏洞； 3）評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性； 4）識別已知的攻擊行為，統(tǒng)計分析異常行為；

5）操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動等。

10．什么是病毒的特征代碼？它有什么作用？

答：病毒的特征代碼是病毒程序編制者用來識別自己編寫程序的唯一代碼串。因此檢測病毒程序可利用病毒的特征代碼來檢測病毒，以防止病毒程序感染。

11．什么是網(wǎng)絡(luò)蠕蟲？它的傳播途徑是什么？

答： 網(wǎng)絡(luò)蠕蟲是一種可以通過網(wǎng)絡(luò)（永久連接網(wǎng)絡(luò)或撥號網(wǎng)絡(luò)）進行自身復制的病毒程序。一旦在系統(tǒng)中激活，蠕蟲可以表現(xiàn)得象計算機病毒或細菌。可以向系統(tǒng)注入特洛伊木馬程序，或者進行任何次數(shù)的破壞或毀滅行動。普通計算機病毒需要在計算機的硬件或文件系統(tǒng)中繁殖，而典型的蠕蟲程序會在內(nèi)存中維持一個活動副本。蠕蟲是一個獨立運行的程序，自身不改變其他的程序，但可以攜帶一個改變其他程序功能的病毒。

12.列舉防火墻的幾個基本功能？

答：(1)隔離不同的網(wǎng)絡(luò)，限制安全問題的擴散，對安全集中管理，簡化了安全管理的復雜程度。(2)防火墻可以方便地記錄網(wǎng)絡(luò)上的各種非法活動，監(jiān)視網(wǎng)絡(luò)的安全性，遇到緊急情況報警。

(3)防火墻可以作為部署NAT的地點，利用NAT技術(shù)，將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來，用來緩解地址空間短缺的問題或者隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)。

(4)防火墻是審計和記錄Internet使用費用的一個最佳地點。(5)防火墻也可以作為IPSec的平臺。

(6)內(nèi)容控制功能。根據(jù)數(shù)據(jù)內(nèi)容進行控制，比如防火墻可以從電子郵件中過濾掉垃圾郵件，可以過濾掉內(nèi)部用戶訪問外部服務(wù)的圖片信息。只有代理服務(wù)器和先進的過濾才能實現(xiàn)。

13.試述RAID 0、RAID

1、RAID

3、RAID 5方案

答：（1）RAID0：無冗余、無校驗的磁盤陣列。RAID0至少使用兩個磁盤驅(qū)動器，并將數(shù)據(jù)分成從512字節(jié)到數(shù)兆節(jié)的若干塊（數(shù)據(jù)條帶），這些數(shù)據(jù)塊被交替寫到磁盤中。RAID0不適用于對可靠性要求高的關(guān)鍵任務(wù)環(huán)境，但卻非常適合于對性能要求較高的視頻或圖像編輯。

（2）RAID1：鏡像磁盤陣列。每一個磁盤驅(qū)動器都有一個鏡像磁盤驅(qū)動器，鏡像磁盤驅(qū)動器隨時保持與原磁盤驅(qū)動器的內(nèi)容一致。RAID1具有較高的安全性，但只有一半的磁盤空間被用來存儲數(shù)據(jù)。為了實時保護鏡像磁盤數(shù)據(jù)的一致性，RAID1磁盤控制器的負載相當大，在此性能上沒有提高。RAID1主要用于在對數(shù)據(jù)安全性要求很高，而且要求能夠快速恢復損壞的數(shù)據(jù)的場合。

（3）RAID3：帶奇偶校驗碼的并行傳送。RAID3使用一個專門的磁盤存放所有的校驗數(shù)據(jù)，而在剩余的磁盤中創(chuàng)建帶區(qū)集分散數(shù)據(jù)的讀寫操作。RAID3適合用于數(shù)據(jù)密集型環(huán)境或單一用戶環(huán)境，尤其有益于要訪問較長的連續(xù)記錄，例如數(shù)據(jù)庫和Web服務(wù)器等。

（4）RAID5：無獨立校驗盤的奇偶校驗磁盤陣列。RAID5把校驗塊分散到所有的數(shù)據(jù)盤中。RAID5使用了一種特殊的算法，可以計算出任何一個帶區(qū)校驗塊的存放位置，這樣就可以確保任何對校驗塊進行的讀寫操作都會在所有的RAID磁盤中進行均衡，從而消除了產(chǎn)生瓶頸的可能。RAID5能提供較完美的性能，因而也是被廣泛應(yīng)用的一種磁盤陣列方案。它適合于I/O密集、高讀/寫比率的應(yīng)用程序，如事務(wù)處理等。為了具有RAID5級的冗余度，我們至少需要三個磁盤組成的磁盤陣列。RAID5可以通過磁盤陣列控制器硬件實現(xiàn)，也可以通過某些網(wǎng)絡(luò)操作系統(tǒng)軟件實現(xiàn)。

14.信息安全有哪些常見的威脅？信息安全的實現(xiàn)有哪些主要技術(shù)措施？

答：常見威脅有非授權(quán)訪問、信息泄露、破壞數(shù)據(jù)完整性，拒絕服務(wù)攻擊，惡意代碼。信息安全的實現(xiàn)可以通過物理安全技術(shù)，系統(tǒng)安全技術(shù)，網(wǎng)絡(luò)安全技術(shù)，應(yīng)用安全技術(shù)，數(shù)據(jù)加密技術(shù)，認證授權(quán)技術(shù)，訪問控制技術(shù)，審計跟蹤技術(shù)，防病毒技術(shù)，災難恢復和備份技術(shù)

15.防火墻的實現(xiàn)技術(shù)有哪兩類？防火墻存在的局限性又有哪些？

防火墻的實現(xiàn)從層次上可以分為兩類：數(shù)據(jù)包過濾和應(yīng)用層網(wǎng)關(guān)，前者工作在網(wǎng)絡(luò)層，而后者工作在應(yīng)用層。防火墻存在的局限性主要有以下七個方面:(1)網(wǎng)絡(luò)上有些攻擊可以繞過防火墻（如撥號）。(2)防火墻不能防范來自內(nèi)部網(wǎng)絡(luò)的攻擊。(3)防火墻不能對被病毒感染的程序和文件的傳輸提供保護。(4)防火墻不能防范全新的網(wǎng)絡(luò)威脅。(5)當使用端到端的加密時，防火墻的作用會受到很大的限制。(6)防火墻對用戶不完全透明，可能帶來傳輸延遲、瓶頸以及單點失效等問題。(7)防火墻不能防止數(shù)據(jù)驅(qū)動式攻擊。有些表面無害的數(shù)據(jù)通過電子郵件或其他方式發(fā)送到主機上，一旦被執(zhí)行就形成攻擊

16.TCP/IP協(xié)議的網(wǎng)絡(luò)安全體系結(jié)構(gòu)的基礎(chǔ)框架是什么？

答：由于OSI參考模型與TCP/IP參考模型之間存在對應(yīng)關(guān)系，因此可根據(jù)GB/T 9387.2-1995的安全體系框架，將各種安全機制和安全服務(wù)映射到TCP/IP的協(xié)議集中，從而形成一個基于TCP/IP協(xié)議層次的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

17.什么是IDS，它有哪些基本功能。

答：入侵檢測系統(tǒng)IDS，它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門。

它的基本功能是：（1）監(jiān)測并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權(quán)操作；（2）核查系統(tǒng)配置和漏洞并提示管理員修補漏洞；（3）評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；（4）識別已知的攻擊行為，統(tǒng)計分析異常行為；（5）操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動等。

18.主動攻擊與被動攻擊的特點是什么？主動攻擊與被動攻擊的現(xiàn)象。

答：主動攻擊是攻擊者通過網(wǎng)絡(luò)線路將虛假信息或計算機病毒傳入信息系統(tǒng)內(nèi)部，破壞信息的真實性、完整性及系統(tǒng)服務(wù)的可用性，即通過中斷、偽造、篡改和重排信息內(nèi)容造成信息破壞，使系統(tǒng)無法正常運行。被動攻擊是攻擊者非常截獲、竊取通信線路中的信息，使信息保密性遭到破壞，信息泄露而無法察覺，給用戶帶來巨大的損失。

19.什么是MD5？ 答：MD5即報文—摘要算法，它是一種基于哈希函數(shù)的密碼算法，以任意長度的消息作為輸入，生成128位的消息摘要作為輸出，輸入消息是按512位的分組處理的。它的最大作用在于，將不同格式的大容量文件信息在用數(shù)字簽名軟件來簽署私人密鑰前“壓縮”成一種保密格式，關(guān)鍵在于這種“壓縮”是不可逆的。

第五篇：網(wǎng)絡(luò)安全技術(shù)論文

當前網(wǎng)絡(luò)常見安全問題分析

指導老師：

摘要：信息時代，人們對計算機和網(wǎng)絡(luò)的應(yīng)用和依賴程度愈來愈高，信息安全問題日益突顯，海量的信息存儲在網(wǎng)絡(luò)上，隨時可能遭到非法入侵，存在著嚴重的安全隱患本文針對根據(jù)幾火突出的網(wǎng)絡(luò)安全問題，歸納并提出了一些網(wǎng)絡(luò)信息安全防抄的方法和策略計算機網(wǎng)絡(luò)的廣泛應(yīng)用給計算機的安全提出了更高的要求，也使網(wǎng)絡(luò)安全問題日漸突出。如果不很好地解決這個問題，必將阻礙計算機網(wǎng)絡(luò)化發(fā)展的進程。關(guān)鍵詞：網(wǎng)絡(luò)安全

黑客入侵

網(wǎng)絡(luò)詐騙

1、網(wǎng)絡(luò)安全的基本內(nèi)涵

網(wǎng)絡(luò)安全從本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，具體指的是網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不會因為偶然的或者惡意的攻擊而遭到破壞、更改、泄漏，系統(tǒng)能夠連續(xù)可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷網(wǎng)絡(luò)安全包括數(shù)據(jù)安全和系統(tǒng)安全兩方面，它具有保密性、完整性、可用性可控性、不可否認性五大特征

從廣義上來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。計算機網(wǎng)絡(luò)安全不僅包括組網(wǎng)的硬件、管理控制網(wǎng)絡(luò)的軟件，也包括共享的資源，快捷的網(wǎng)絡(luò)服務(wù)，所以定義網(wǎng)絡(luò)安全應(yīng)考慮涵蓋計算機網(wǎng)絡(luò)所涉及的全部內(nèi)容。參照ISO給出的計算機安全定義，認為計算機網(wǎng)絡(luò)安全是指：“保護計算機網(wǎng)絡(luò)系統(tǒng)中的硬件，軟件和數(shù)據(jù)資源，不因偶然或惡意的原因遭到破壞、更改、泄露，使網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠性地正常運行，網(wǎng)絡(luò)服務(wù)正常有序?！?/p>

2、常見的網(wǎng)絡(luò)安全問題

互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，為人類社會的進步提供了巨大推動力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問題：（1）信息泄漏、信息污染、信息不易受控。例如，資源未授權(quán)侵用、未授權(quán)信息流出現(xiàn)、系統(tǒng)拒絕信息流和系統(tǒng)否認等，這些都是信息安全的技術(shù)難點。（2）在網(wǎng)絡(luò)環(huán)境中，一些組織或個人出于某種特殊目的，進行信息泄密、信息破壞、信息侵權(quán)和意識形態(tài)的信息滲透，甚至通過網(wǎng)絡(luò)進行政治顛覆等活動，使國家利益、社會公共利益和各類主體的合法權(quán)益受到威脅。（3）網(wǎng)絡(luò)運用的趨勢是全社會廣泛參與，隨之而來的是控制權(quán)分散的管理問題。由于人們利益、目標、價值的分歧，使信息資源的保護和管理出現(xiàn)脫節(jié)和真空，從而使信息安全問題變得廣泛而復雜。（4）隨著社會重要基礎(chǔ)設(shè)施的高度信息化，社會的“命脈”和核心控制系統(tǒng)有可能面臨惡意攻擊而導致?lián)p壞和癱瘓，包括國防通信設(shè)施、動力控制網(wǎng)、金融系統(tǒng)和政府網(wǎng)站等。

2.1遭受黑客攻擊

自 1994 年國際互聯(lián)網(wǎng)進入我國以來，我國的網(wǎng)民人數(shù)急劇增長，隨著網(wǎng)絡(luò)的逐漸普及，黑客隊伍也相應(yīng)產(chǎn)生并逐漸壯大，其作案范圍日益擴大，作案手段日益高明，對網(wǎng)絡(luò)安全造成了危害。

黑客主要是使用一些現(xiàn)有的工具對操作系統(tǒng)的弱口令或安全漏洞加以利用攻擊，獲得一般用戶甚至管理員用戶權(quán)限，進而達到實施破壞的目的。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標系統(tǒng)的數(shù)據(jù)為目的

電腦黑客活動已形成重要威脅。網(wǎng)絡(luò)信息系統(tǒng)具有致命的脆弱性、易受攻擊性和開放性，從國內(nèi)情況來看，目前我國95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機構(gòu)是黑客攻擊的重點。

2.2計算機病毒

病毒實際上是一種特殊的程序或普通程序中的一段特殊代碼，它的功能是破壞計算機的正常運行或竊取用戶計算機上的隱私。計算機感染上病毒后，輕則使系統(tǒng)效率下降，重則造成系統(tǒng)死機或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計算機主板等部件的損壞。有了互聯(lián)網(wǎng)后，病毒的傳播速度更快，涉及范圍更廣，危害性更大。計算機系統(tǒng)遭受病毒感染和破壞的情況相當嚴重。據(jù)國家計算機病毒應(yīng)急處理中心副主任張健介紹，從國家計算機病毒應(yīng)急處理中心日常監(jiān)測結(jié)果看來，計算機病毒呈現(xiàn)出異?；钴S的態(tài)勢。

2.3 垃圾郵件和間諜軟件

一些人利用電子郵件地址的“公開性”和系統(tǒng)的“可廣播性”進行商業(yè)、宗教、政治等活動，把自己的電子郵件強行“推入”別人的電子郵箱，強迫他人接受垃圾郵件。與計算機病毒不同，間諜軟件的主要目的不在于對系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶信息。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設(shè)置，威脅用戶隱私和計算機安全，并可能不同程度地影響系統(tǒng)性能。

2.4 計算機犯罪

計算機犯罪，通常是利用竊取口令等手段非法侵人計算機信息系統(tǒng)，傳播有害信息，惡意破壞計算機系統(tǒng)，實施貪污盜竊、詐騙和金融犯罪等活動。網(wǎng)絡(luò)安全的防范措施

3.1 安裝殺毒軟件

計算機病毒有以下五種特征：寄生性、傳染性、破壞性、可觸發(fā)性、可潛伏性。根據(jù)計算機病毒的特征，人們摸索出了許多檢測計算機病毒和殺毒的軟件。國內(nèi)的有瑞星、KV3000、金山毒霸、360殺毒軟件等，國外的有諾頓、卡巴斯基等。但是，沒有哪種殺毒軟件是萬能的，所以當本機的殺毒軟件無法找到病毒時，用戶可以到網(wǎng)上下載一些專殺工具，如木馬專殺工具、蠕蟲專殺工具或宏病毒專殺工具等。值得注意的是，安裝了殺毒軟件后，我們還必須每周至少更新一次殺毒軟件病毒庫，因為防病毒軟件只有最新才是最有效的。每周還要對電腦硬盤進行一次全面的掃描、殺毒，以便及時發(fā)現(xiàn)并清除隱藏在系統(tǒng)中的病毒。當不慎感染上病毒時，應(yīng)立即將殺毒軟件升級到最新版本，然后對整個硬盤進行掃描，清除一切可以查殺的病毒。當受到網(wǎng)絡(luò)攻擊時，我們的第一反應(yīng)就是拔掉網(wǎng)絡(luò)連接端口以斷開網(wǎng)絡(luò)。3.2 安裝網(wǎng)絡(luò)防火墻

所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，所以，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)。常見的個人網(wǎng)絡(luò)防火墻有天網(wǎng)防火墻、瑞星防火墻和360安全衛(wèi)士等。.安裝防病毒網(wǎng)關(guān)軟件 防病毒網(wǎng)關(guān)放置在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)連接處。當在內(nèi)部網(wǎng)絡(luò)發(fā)現(xiàn)病毒時，可能已經(jīng)感染了很多計算機，防病毒網(wǎng)關(guān)可以將大部分病毒隔離在外部，它同時具有反垃圾郵件和反間諜軟件的能力。當出現(xiàn)新的病毒時，管理員只要將防病毒網(wǎng)關(guān)升級就可以抵御新病毒的攻擊。

3.3 數(shù)據(jù)加密

數(shù)據(jù)加密作為一項基本技術(shù)是所有通信安全的基石。數(shù)據(jù)加密過程是由形形色色的加密算法來具體實施的，它以很小的代價來提供很大的安全保護。在多數(shù)情況下，數(shù)據(jù)加密是保證信息機密性的惟一方法。一般把受保護的原始信息稱為明文，編碼后的稱為密文。數(shù)據(jù)加密的基本過程包括對明文進行翻譯，譯成密文或密碼的代碼形式。該過程的逆過程為解密，即將該加密的編碼信息轉(zhuǎn)化為原來的形式的過程。機密資料被加密后，無論是被人通過復制數(shù)據(jù)、還是采用網(wǎng)絡(luò)傳送的方式竊取過去，只要對方不知道你的加密算法，該機密資料就成了毫無意義的亂碼一堆。常見的加密軟件有SecWall、明朝萬達、完美數(shù)據(jù)加密大師等。

3.4 警惕“網(wǎng)絡(luò)釣魚”

“網(wǎng)絡(luò)釣魚”（phishing）是通過大量發(fā)送聲稱來自于銀行或其他知名機構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息的一種攻擊方式。黑客就是利用這種欺騙性的電子郵件和偽造的web站點來進行網(wǎng)絡(luò)詐騙活動，受騙者往往會泄露自己的私人資料，如信用卡號、銀行卡賬戶、身份證號等內(nèi)容。黑客通常會將自己偽裝成網(wǎng)絡(luò)銀行、在線零售商和信用卡公司等可信的品牌，騙取用戶的私人信息。對此，用戶應(yīng)該提高警惕，可安裝一款有反垃圾郵件功能的良好殺毒軟件。大多數(shù)安全產(chǎn)品都能將這種郵件識別為垃圾郵件，使你對它們的花言巧語提高警惕。不登錄不熟悉的網(wǎng)站，鍵入網(wǎng)站地址時要認真校對。多用常識思考，因為這是你 抵御詐騙的最有效方式。沒有人會無條件地給予你什么，而網(wǎng)上一見鐘情的概率也是微乎其微。因此，你從一開始就要對這種聯(lián)絡(luò)抱有高度懷疑，以防誤入圈套。結(jié)語

本文簡要地分析了計算機網(wǎng)絡(luò)存在的幾種安全隱患，并探討了計算機網(wǎng)絡(luò)的幾種安全防范措施?？偟膩碚f，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時也是一個安全管理問題。目前解決網(wǎng)絡(luò)安全問題的大部分技術(shù)是存在的，但是隨著社會的發(fā)展，人們對網(wǎng)絡(luò)功能的要求愈加苛刻，這就決定了通信網(wǎng)絡(luò)安全維護是一個長遠持久的課題。我們必須適應(yīng)社會，不斷提高技術(shù)水平，以保證網(wǎng)絡(luò)安全維護的順利進行。

參考文獻

1、尹建璋《計算機網(wǎng)絡(luò)技術(shù)及應(yīng)用實例》西安電子科技大學出版社，2、劉遠生、辛一主編《計算機網(wǎng)絡(luò)安全》北京:清華大學出版社.2009.6

3、張千里，陳光英《網(wǎng)絡(luò)安全新技術(shù)》北京：人民郵電出版社,2003.1

4、徐茂智《信息安全概論》人民郵電出版社2007.8

5、劉永華、解圣慶《局域網(wǎng)組建、管理與維護》清華大學出版社2006.6

5、呂江。網(wǎng)絡(luò)安全現(xiàn)狀分析及應(yīng)對措施[J]．中國新技術(shù)新產(chǎn)品，2009，23：44～45．

The current network common security analysis

Abstract: information age, people to the computer and network applications and dependence on more and more high, the information security problem has become very prominent, the magnitude of the information stored in the network, may at any time by the illegal invasion, there are serious security hidden danger in this paper according to a few fire outstanding network security problem, inductive and puts forward some prevention network information security copy method and strategy of the wide application of computer network to computer security put forward higher request, also make the problem of network security becomes more and more serious if not solve this problem well, will hinder the process of the development of computer network.Keywords: network security ,hackers ,network fraud