第一篇：網(wǎng)絡(luò)安全防護(hù)機(jī)制和技術(shù)創(chuàng)新研究論文（共）

摘要：有效的網(wǎng)絡(luò)信息安全技術(shù)是推動(dòng)煙草公司可持續(xù)發(fā)展的基本動(dòng)力和重要?jiǎng)恿ΑＲ虼?，?duì)煙草公司的網(wǎng)絡(luò)安全防護(hù)機(jī)制及其相關(guān)安全技術(shù)進(jìn)行了探討。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防護(hù)機(jī)制；煙草公司；互聯(lián)網(wǎng)

隨著Internet技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)應(yīng)用技術(shù)的普及，網(wǎng)絡(luò)安全威脅頻繁地出現(xiàn)在互聯(lián)網(wǎng)中。近年來，網(wǎng)絡(luò)攻擊的目的逐漸轉(zhuǎn)變?yōu)楂@取不正當(dāng)?shù)慕?jīng)濟(jì)利益。在此種情況下，加強(qiáng)網(wǎng)絡(luò)安全建設(shè)已成為各個(gè)企業(yè)的迫切需要。煙草公司的網(wǎng)絡(luò)安全防護(hù)機(jī)制和安全技術(shù)是確保其網(wǎng)絡(luò)信息安全的關(guān)鍵所在。只有加強(qiáng)防護(hù)體系建設(shè)和創(chuàng)新安全技術(shù)，才能在保證網(wǎng)絡(luò)安全的前提下，促進(jìn)煙草公司的發(fā)展。

1、縣級(jí)煙草公司網(wǎng)絡(luò)現(xiàn)面臨的威脅

目前，煙草公司計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅從主體上可分為對(duì)網(wǎng)絡(luò)信息的威脅、對(duì)網(wǎng)絡(luò)設(shè)備的威脅。

1.1人為無意的失誤

如果網(wǎng)絡(luò)的安全配置不合理，則可能會(huì)出現(xiàn)安全漏洞，加之用戶選擇口令時(shí)不謹(jǐn)慎，甚至將自己的賬號(hào)隨意轉(zhuǎn)借給他人或與他人共享，進(jìn)而為網(wǎng)絡(luò)埋下了安全隱患。

1.2人為惡意的攻擊

人為惡意的攻擊可分為主動(dòng)攻擊和被動(dòng)攻擊，這兩種攻擊都會(huì)對(duì)煙草公司的計(jì)算機(jī)網(wǎng)絡(luò)造成較大的破壞，導(dǎo)致機(jī)密數(shù)據(jù)存在泄露的風(fēng)險(xiǎn)。比如，相關(guān)操作者未及時(shí)控制來自Internet的電子郵件中攜帶的病毒、Web瀏覽器可能存在的惡意Java控件等，進(jìn)而對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成巨大的影響。

1.3網(wǎng)絡(luò)軟件的漏洞

對(duì)于網(wǎng)絡(luò)軟件而言，會(huì)存在一定的缺陷和漏洞，而這些缺陷和漏洞為hacker提供了可乘之機(jī)。

1.4自然災(zāi)害和惡性的事件

該種網(wǎng)絡(luò)威脅主要是指無法預(yù)測(cè)的自然災(zāi)害和人為惡性的事件。自然災(zāi)害包括地震、洪水等，人為惡性的事件包括惡意破壞、人為縱火等。雖然這些事件發(fā)生的概率較低，但一旦發(fā)生，則會(huì)造成異常嚴(yán)重的后果，必須嚴(yán)以防范。

2、構(gòu)建煙草公司信息網(wǎng)絡(luò)安全防護(hù)體系

要想形成一個(gè)完整的安全體系，并制訂有效的解決方案，就必須在基于用戶網(wǎng)絡(luò)體系結(jié)構(gòu)、網(wǎng)絡(luò)分析的基礎(chǔ)上開展研究。對(duì)于安全體系的構(gòu)建，除了要建立安全理論和研發(fā)安全技術(shù)外，還要將安全策略、安全管理等各項(xiàng)內(nèi)容囊括其中?？傮w來看，構(gòu)建安全體系是一項(xiàng)跨學(xué)科、綜合性的信息系統(tǒng)工程，應(yīng)從設(shè)施、技術(shù)、管理、經(jīng)營、操作等方面整體把握。安全系統(tǒng)的整體框架如圖1所示。安全系統(tǒng)的整體框架可分為安全管理框架和安全技術(shù)框架。這兩個(gè)部分既相互獨(dú)立，又相互融合。安全管理框架包括安全策略、安全組織管理和安全運(yùn)作管理三個(gè)層面；安全技術(shù)框架包括鑒別與認(rèn)證、訪問控制、內(nèi)容安全、冗余與恢復(fù)、審計(jì)響應(yīng)五個(gè)層面。由此可見，根據(jù)煙草公司網(wǎng)絡(luò)信息安全系統(tǒng)提出的對(duì)安全服務(wù)的需求，可將整個(gè)網(wǎng)絡(luò)安全防護(hù)機(jī)制分為安全技術(shù)防護(hù)、安全管理和安全服務(wù)。

2.1安全技術(shù)防護(hù)機(jī)制

在此環(huán)節(jié)中，旨在將安全策略中的各個(gè)要素轉(zhuǎn)化成為可行的技術(shù)。對(duì)于內(nèi)容層面而言，必須明確安全策略的保護(hù)方向、保護(hù)內(nèi)容，如何實(shí)施保護(hù)、處理發(fā)生的問題等。在此情況下，一旦整體的安全策略形成，經(jīng)實(shí)踐檢驗(yàn)后，便可大幅推廣，這有利于煙草公司整體安全水平的提高。此外，安全技術(shù)防護(hù)體系也可劃分為1個(gè)基礎(chǔ)平臺(tái)和4個(gè)子系統(tǒng)。在這個(gè)技術(shù)防護(hù)體系中，結(jié)合網(wǎng)絡(luò)管理等功能，可對(duì)安全事件等實(shí)現(xiàn)全程監(jiān)控，并與各項(xiàng)技術(shù)相結(jié)合，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備、信息安全的綜合管理，確保系統(tǒng)的持續(xù)可用性。

2.2安全管理機(jī)制

依據(jù)ISO/IEC17700信息安全管理標(biāo)準(zhǔn)思路及其相關(guān)內(nèi)容，信息安全管理機(jī)制的內(nèi)容包括制訂安全管理策略、制訂風(fēng)險(xiǎn)評(píng)估機(jī)制、建設(shè)日常安全管理制度等?；谠擁?xiàng)內(nèi)容涉及的管理、技術(shù)等各個(gè)方面，需各方面資源的大力支持，通過技術(shù)工人與管理者的無隙合作，建立煙草公司內(nèi)部的信息安全防范責(zé)任體系。2.3安全服務(wù)機(jī)制安全服務(wù)需結(jié)合人、管理、產(chǎn)品與技術(shù)等各方面，其首要內(nèi)容是定期評(píng)估整個(gè)網(wǎng)絡(luò)的風(fēng)險(xiǎn)，了解網(wǎng)絡(luò)當(dāng)前的安全狀況，并根據(jù)評(píng)估結(jié)果調(diào)整網(wǎng)絡(luò)安全策略，從而確保系統(tǒng)的正常運(yùn)行。此外，還可通過專業(yè)培訓(xùn)，進(jìn)一步促進(jìn)煙草公司員工安全意識(shí)的增強(qiáng)。

3、煙草公司的網(wǎng)絡(luò)信息安全技術(shù)

3.1訪問控制技術(shù)

在煙草公司的網(wǎng)絡(luò)信息安全技術(shù)中，訪問控制技術(shù)是最重要的一項(xiàng)，其由主體、客體、訪問控制策略三個(gè)要素組成。煙草公司訪問用戶的種類多、數(shù)量大、常變化，進(jìn)而增加了授權(quán)管理工作的負(fù)擔(dān)。因此，為了避免發(fā)生上述情況，直接將訪問權(quán)限授予了主體，從而便于管理。此外，還應(yīng)革新并采用基于角色的訪問控制模型RBAC。

3.2數(shù)字簽名技術(shù)

在煙草公司，數(shù)字簽名技術(shù)的應(yīng)用很普遍。數(shù)字簽名屬于一種實(shí)現(xiàn)認(rèn)證、非否認(rèn)的方法。在網(wǎng)絡(luò)虛擬環(huán)境中，數(shù)字簽名技術(shù)仍然是確認(rèn)身份的關(guān)鍵技術(shù)之一，可完全代替親筆簽名，其無論是在法律上，還是技術(shù)上均有嚴(yán)格的保證。在煙草公司的網(wǎng)絡(luò)安全中應(yīng)用數(shù)字簽名技術(shù)，可更快地獲得發(fā)送者公鑰。但在這一過程中需要注意，應(yīng)對(duì)發(fā)送者私鑰嚴(yán)格保密。

3.3身份認(rèn)證技術(shù)

身份認(rèn)證是指在計(jì)算機(jī)與網(wǎng)絡(luò)系統(tǒng)這一虛擬數(shù)字環(huán)境中確認(rèn)操作者身份的過程。在網(wǎng)絡(luò)系統(tǒng)中，用戶的所有信息是用一組特定的數(shù)據(jù)來表示的；而在現(xiàn)實(shí)生活中，每個(gè)人都有著獨(dú)一無二的物理身份。如何確保這兩種身份的對(duì)應(yīng)性，已成為相關(guān)工作者遇到的難題。而采用身份認(rèn)證技術(shù)可很好地解決該難題。該技術(shù)主要包括基于隨機(jī)口令的雙因素認(rèn)證和基于RKI體制的數(shù)字證書認(rèn)證技術(shù)等?；诳诹畹纳矸菡J(rèn)證技術(shù)具有使用靈活、投入小等特點(diǎn)，在一些封閉的小型系統(tǒng)或安全性要求較低的系統(tǒng)中非常適用；基于PKI體制的數(shù)字證書認(rèn)證技術(shù)可有效保證信息系統(tǒng)的真實(shí)性、完整性、機(jī)密性等。

4、結(jié)束語

綜上所述，安全是煙草公司網(wǎng)絡(luò)賴以生存的重要前提，網(wǎng)絡(luò)安全的最終目標(biāo)是確保在網(wǎng)絡(luò)中交換的數(shù)據(jù)信息不會(huì)被刪除、篡改、泄露甚至破壞，從而提高系統(tǒng)應(yīng)用的可控性和保密性。因此，煙草公司必須具備一套行之有效的網(wǎng)絡(luò)安全防護(hù)機(jī)制，增強(qiáng)自身網(wǎng)絡(luò)的整體防御能力，研發(fā)網(wǎng)絡(luò)安全立體防護(hù)技術(shù)。只有建立完善的信息安全防范體系，才能使煙草公司內(nèi)部的重要信息資源得到有效保護(hù)。

參考文獻(xiàn)

［1］張玨，田建學(xué).網(wǎng)絡(luò)安全新技術(shù)［J］.電子設(shè)計(jì)工程，2011，19（12）.［2］李靜.關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全信息新技術(shù)探索［J］.數(shù)字技術(shù)與應(yīng)用，2014（5）.作者:林遠(yuǎn)雄 單位:廣東煙草清遠(yuǎn)市有限公司陽山縣分公司

第二篇：計(jì)算機(jī)網(wǎng)絡(luò)安全及防護(hù)畢業(yè)設(shè)計(jì)論文

計(jì)算機(jī)網(wǎng)絡(luò)安全及防護(hù)畢業(yè)設(shè)計(jì)論文

摘要

本文從計(jì)算機(jī)網(wǎng)絡(luò)面臨的各種安全威脅，系統(tǒng)地介紹網(wǎng)絡(luò)安全技術(shù)。并針對(duì)校園網(wǎng) 絡(luò)的安全問題進(jìn)行研究，首先分析了高校網(wǎng)絡(luò)系統(tǒng)安全的隱患，然后從構(gòu)建安全防御體 系和加強(qiáng)安全管理兩方面設(shè)計(jì)了校園網(wǎng)絡(luò)的安全策略。本次論文研究中，我首先了解了 網(wǎng)絡(luò)安全問題的主要威脅因素，并利用網(wǎng)絡(luò)安全知識(shí)對(duì)安全問題進(jìn)行剖析。其次，通過 對(duì)網(wǎng)絡(luò)技術(shù)的研究，得出校園網(wǎng)也會(huì)面臨著安全上的威脅。最后，確立了用P2DR模型 的思想來建立校園網(wǎng)的安全防御體系。并得出了構(gòu)建一套有效的網(wǎng)絡(luò)安全防御體系是解 決校園網(wǎng)主要威脅和隱患的必要途徑和措施.關(guān)鍵詞: 網(wǎng)絡(luò)安全，安全防范，校園網(wǎng)

II ABSTRACT In this paper, a variety of computer network security threats faced by the system to introduce the network security technology.And for the safety of the campus network to study, first of all an analysis of the safety of colleges and universities hidden network and then build a security defense system and strengthen the security management of both the design of the campus network security policy.The research paper, I first learned about the major issues of network security threats and take advantage of network security knowledge to analyze the security issues.Secondly, through the network technology, will come to campus network is faced with security threats.Finally, P2DR model established with the idea to create a campus network security defense system..And come to build an effective network security defense system to address major threats to the campus network and the hidden ways and measures necessary.Key words: NetworkSecurity, SafetyPrecautions, Campus Network

目錄

第1章 前言..............................................................1

1.1 網(wǎng)絡(luò)安全發(fā)展歷史與現(xiàn)狀分析..........................................1 1.1.1因特網(wǎng)的發(fā)展及其安全問題........................................1 1.1.2我國網(wǎng)絡(luò)安全現(xiàn)狀及發(fā)展趨勢(shì).....................................3 第2章 網(wǎng)絡(luò)安全概述......................................................5 2.1網(wǎng)絡(luò)安全的含義......................................................5 2.2 網(wǎng)絡(luò)安全的屬性......................................................5 2.3 網(wǎng)絡(luò)安全機(jī)制........................................................5 2.3.1 網(wǎng)絡(luò)安全技術(shù)機(jī)制................................................6 2.3.2 網(wǎng)絡(luò)安全管理機(jī)制................................................6 2.4 網(wǎng)絡(luò)安全策略........................................................6 2.4.1 安全策略的分類..................................................6 2.4.2 安全策略的配置.................................................7 2.5 網(wǎng)絡(luò)安全發(fā)展趨勢(shì)....................................................8 第3章 網(wǎng)絡(luò)安全問題解決對(duì)策..............................................9 3.1計(jì)算機(jī)安全級(jí)別的劃分................................................9 3.1.1 TCSEC簡(jiǎn)介......................................................9 3.1.2 GB17859劃分的特點(diǎn).............................................10 3.1.3安全等級(jí)標(biāo)準(zhǔn)模型...............................................11

3.2 防火墻技術(shù).........................................................11 3.2.1防火墻的基本概念與作用.........................................12 3.2.2 防火墻的工作原理...............................................12 第4章 網(wǎng)絡(luò)安全防范.....................................................24 4.1 TELNET 入侵防范......................................................24 4.2 防止ADMINISTRATOR賬號(hào)被破解................................24 4.3 防止賬號(hào)被暴力破解.................................................25 4.4 “木馬”防范措施...................................................26 4.4.1“木馬”的概述..................................................26 4.4.2 “木馬”的防范措施.............................................26 4.5 網(wǎng)頁惡意代碼及防范.................................................27 4.5.1惡意代碼分析...................................................27 4.5.2網(wǎng)頁惡意代碼的防范措施.........................................28 第5章 結(jié)束語...........................................................46 致謝....................................................................48 參考文獻(xiàn)................................................................49 論文小結(jié)................................................................51 附錄....................................................................52

第1 章 前言

1.1 網(wǎng)絡(luò)安全發(fā)展歷史與現(xiàn)狀分析

隨著計(jì)算機(jī)技術(shù)的發(fā)展，在計(jì)算機(jī)上處理業(yè)務(wù)已由基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理，基于簡(jiǎn)單連結(jié)的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動(dòng)化等發(fā)展到基于企業(yè)復(fù)雜的內(nèi)部 網(wǎng)、企業(yè)外部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù) 處理。在信息處理能力提高的同時(shí)，系統(tǒng)的連結(jié)能力也在不斷的提高。但在連結(jié)信息能 力、流通能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問題也日益突出。主要表現(xiàn)在以下方面：

（一）網(wǎng)絡(luò)的開放性帶來的安全問題

Internet的開放性以及其他方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)存在很多安 全問題。為了解決這些安全問題，各種安全機(jī)制、策略、管理和技術(shù)被研究和應(yīng)用。然 而，即使在使用了現(xiàn)有的安全工具和技術(shù)的情況下，網(wǎng)絡(luò)的安全仍然存在很大隱患，這 些安全隱患主要可以包括為以下幾點(diǎn):(1)安全機(jī)制在特定環(huán)境下并非萬無一失。比如防火墻，它雖然是一種有效的安全 工具，可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是對(duì)于內(nèi)部網(wǎng)絡(luò)之 間的訪問，防火墻往往是無能為力的。因此，對(duì)于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為 和內(nèi)外勾結(jié)的入侵行為，防火墻是很難發(fā)覺和防范的。(2)安全工具的使用受到人為因素的影響。一個(gè)安全工具能不能實(shí)現(xiàn)期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，不正當(dāng)?shù)脑O(shè)置就會(huì)產(chǎn)生不安 全因素。例如，Windows NT在進(jìn)行合理的設(shè)置后可以達(dá)到C2級(jí)的安全性，但很少有人 能夠?qū)indows NT本身的安全策略進(jìn)行合理的設(shè)置。雖然在這方面，可以通過靜態(tài)掃 描工具來檢測(cè)系統(tǒng)是否進(jìn)行了合理的設(shè)置，但是這些掃描工具基本上也只是基于一種缺 省的系統(tǒng)安全策略進(jìn)行比較，針對(duì)具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的 正確性。

(3)系統(tǒng)的后門是難于考慮到的地方。防火墻很難考慮到這類安全問題，多數(shù)情況 下，這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺；比如說，眾所周知的ASP源 碼問題，這個(gè)問題在IIS服務(wù)器4.0以前一直存在，它是IIS服務(wù)的設(shè)計(jì)者留下的一個(gè) 后門，任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼，從而可以收集系統(tǒng)信息，進(jìn)而對(duì)系統(tǒng)進(jìn)行攻擊。對(duì)于這類入侵行為，防火墻是無法發(fā)覺的，因?yàn)閷?duì)于防 火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區(qū)別是入侵訪問在 請(qǐng)求鏈接中多加了一個(gè)后綴。(4)BUG難以防范。甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新 的BUG被發(fā)現(xiàn)和公布出來，程序設(shè)計(jì)者在修改已知的BUG的同時(shí)又可能使它產(chǎn)生了新的 BUG。系統(tǒng)的BUG經(jīng)常被黑客利用，而且這種攻擊通常不會(huì)產(chǎn)生日志，幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的BUG，現(xiàn)有的安

全工具對(duì)于利用這些BUG的攻擊 幾乎無法防范。

(5)黑客的攻擊手段在不斷地升級(jí)。安全工具的更新速度慢，且絕大多數(shù)情況需要 人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對(duì)新出現(xiàn)的安全問題總是反應(yīng) 遲鈍。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時(shí)，其他的安全問題又出現(xiàn)了。因此，黑客總是可以使用先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊。

（二）網(wǎng)絡(luò)安全的防護(hù)力脆弱，導(dǎo)致的網(wǎng)絡(luò)危機(jī)

(1)根據(jù)Warroon Research的調(diào)查，1997年世界排名前一千的公司幾乎都曾被黑客 闖入。

(2)據(jù)美國FBI統(tǒng)計(jì)，美國每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。(3)Ernst和Young報(bào)告，由于信息安全被竊或?yàn)E用，幾乎80%的大型企業(yè)遭受損 失。

(4)最近一次黑客大規(guī)模的攻擊行動(dòng)中，雅虎網(wǎng)站的網(wǎng)絡(luò)停止運(yùn)行3小時(shí)，這令它 損失了幾百萬美金的交易。而據(jù)統(tǒng)計(jì)在這整個(gè)行動(dòng)中美國經(jīng)濟(jì)共損失了十多億美金。由 于業(yè)界人心惶惶，亞馬遜(Amazon.com)、AOL、雅虎(Yahoo!)、eBay的股價(jià)均告下挫，以科技股為主的那斯達(dá)克指數(shù)(Nasdaq)打破過去連續(xù)三天創(chuàng)下新高的升勢(shì)，下挫了六十 三點(diǎn)，杜瓊斯工業(yè)平均指數(shù)周三收市時(shí)也跌了二百五十八點(diǎn)。

（三）網(wǎng)絡(luò)安全的主要威脅因素

(1)軟件漏洞：每一個(gè)操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這 就使我們的計(jì)算機(jī)處于危險(xiǎn)的境地，一旦連接入網(wǎng)，將成為眾矢之的。

(2)配置不當(dāng)：安全配置不當(dāng)造成安全漏洞，例如，防火墻軟件的配置不正確，那 么它根本不起作用。對(duì)特定的網(wǎng)絡(luò)應(yīng)用程序，當(dāng)它啟動(dòng)時(shí)，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應(yīng)用軟件也會(huì)被啟用。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確 配置，否則，安全隱患始終存在。

(3)安全意識(shí)不強(qiáng)：用戶口令選擇不慎，或?qū)⒆约旱膸ぬ?hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來威脅。

(4)病毒：目前數(shù)據(jù)安全的頭號(hào)大敵是計(jì)算機(jī)病毒，它是編制者在計(jì)算機(jī)程序中插入 的破壞計(jì)算機(jī)功能或數(shù)據(jù)，影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行并且能夠自我復(fù)制的一組 計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等 特點(diǎn)。因此，提高對(duì)病毒的防范刻不容緩。

(5)黑客：對(duì)于計(jì)算機(jī)數(shù)據(jù)安全構(gòu)成威脅的另一個(gè)方面是來自電腦黑客(backer)。電 腦黑客利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計(jì)算機(jī)系統(tǒng)，其危害性非常大。從某種意義 上講，黑客對(duì)信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。

因特網(wǎng)在我國的迅速普及，我國境內(nèi)信息系統(tǒng)的攻擊事件也正在呈現(xiàn)快速增長的勢(shì) 頭。據(jù)了解，從1997年底到現(xiàn)在，我國的政府部門、證券公司、銀行、ISP, ICP等機(jī)構(gòu) 的計(jì)算機(jī)網(wǎng)絡(luò)相繼遭到多次攻擊。因此，加強(qiáng)網(wǎng)絡(luò)信息安全保障已成為當(dāng)前的迫切任務(wù)。目前我國網(wǎng)絡(luò)安全的現(xiàn)狀和面臨的威脅主要有：(1)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)使用的軟、硬件很大一部分是國外產(chǎn)品，我們對(duì)引進(jìn)的信息技術(shù) 和設(shè)備缺乏保護(hù)信息安全所必不可少的有效管理和技術(shù)改造。(2)全社會(huì)的信息安全意識(shí)雖然有所提高，但將其提到實(shí)際日程中來的依然很少。

(3)目前關(guān)于網(wǎng)絡(luò)犯罪的法律、法規(guī)還不健全。

(4)我國信息安全人才培養(yǎng)還不能滿足其需要。

第2 章 網(wǎng)絡(luò)安全概述

2.1 網(wǎng)絡(luò)安全的含義

網(wǎng)絡(luò)安全從其本質(zhì)來講就是網(wǎng)絡(luò)上信息安全，它涉及的領(lǐng)域相當(dāng)廣泛，這是因?yàn)槟?前的公用通信網(wǎng)絡(luò)中存在著各式各樣的安全漏洞和威脅。廣義上講，凡是涉及到網(wǎng)絡(luò)上 信息的保密性、完整性、可用性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件，軟件及數(shù)據(jù)受到保護(hù)，不遭受偶然或惡意的破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷 [1]。且在不同環(huán)境和應(yīng)用中又 不同的解釋。

（1）運(yùn)行系統(tǒng)安全：即保證信息處理和傳輸系統(tǒng)的安全，包括計(jì)算機(jī)系統(tǒng)機(jī)房環(huán)境 和傳輸環(huán)境的法律保護(hù)、計(jì)算機(jī)結(jié)構(gòu)設(shè)計(jì)的安全性考慮、硬件系統(tǒng)的安全運(yùn)行、計(jì)算機(jī) 操作系統(tǒng)和應(yīng)用軟件的安全、數(shù)據(jù)庫系統(tǒng)的安全、電磁信息泄露的防御等。

（2）網(wǎng)絡(luò)上系統(tǒng)信息的安全：包括用戶口令鑒別、用戶存取權(quán)限控制、數(shù)據(jù)存取權(quán) 限、方式控制、安全審計(jì)、安全問題跟蹤、計(jì)算機(jī)病毒防治、數(shù)據(jù)加密等。

（3）網(wǎng)絡(luò)上信息傳輸?shù)陌踩杭葱畔鞑ズ蠊陌踩?、包括信息過濾、不良信息過 濾等。

（4）網(wǎng)絡(luò)上信息內(nèi)容的安全：即我們討論的狹義的“信息安全”；側(cè)重于保護(hù)信息 的機(jī)密性、真實(shí)性和完整性。本質(zhì)上是保護(hù)用戶的利益和隱私。

2.2 網(wǎng)絡(luò)安全的屬性

網(wǎng)絡(luò)安全具有三個(gè)基本的屬性：機(jī)密性、完整性、可用性。（1）機(jī)密性：是指保證信息與信息系統(tǒng)不被非授權(quán)者所獲取與使用，主要 范措施是密碼技術(shù)。

（2）完整性：是指保證信息與信息系統(tǒng)可被授權(quán)人正常使用，主要防范措施是確保 信息與信息系統(tǒng)處于一個(gè)可靠的運(yùn)行狀態(tài)之下。以上可以看出：在網(wǎng)絡(luò)中，維護(hù)信息載體和信息自身的安全都包括了機(jī)密性、完整 性、可用性這些重要的屬性。

2.3 網(wǎng)絡(luò)安全機(jī)制

網(wǎng)絡(luò)安全機(jī)制是保護(hù)網(wǎng)絡(luò)信息安全所采用的措施，所有的安全機(jī)制都是針對(duì)某些潛 在的安全威脅而設(shè)計(jì)的，可以根據(jù)實(shí)際情況單獨(dú)或組合使用。如何在有限的投入下合理 地使用安全機(jī)制，以便盡可能地降低安全風(fēng)險(xiǎn)，是值得討論的，網(wǎng)絡(luò)信息安全機(jī)制應(yīng)包括:技術(shù)機(jī)制和管理機(jī)制兩方面的內(nèi)容。2.3.1 網(wǎng)絡(luò)安全技術(shù)機(jī)制

網(wǎng)絡(luò)安全技術(shù)機(jī)制包含以下內(nèi)容：

（1）加密和隱藏。加密使信息改變，攻擊者無法了解信息的內(nèi)容從而達(dá)到保護(hù)；隱 藏則是將有用信息隱藏在其他信息中，使攻擊者無法發(fā)現(xiàn)。

（2）認(rèn)證和授權(quán)。網(wǎng)絡(luò)設(shè)備之間應(yīng)互認(rèn)證對(duì)方的身份，以保證正確的操作權(quán)力賦予 和數(shù)據(jù)的存取控制；同時(shí)網(wǎng)絡(luò)也必須認(rèn)證用戶的身份，以授權(quán)保證合法的用戶實(shí)施正確 的操作。

（3）審計(jì)和定位。通過對(duì)一些重要的事件進(jìn)行記錄，從而在系統(tǒng)中發(fā)現(xiàn)錯(cuò)誤或受到 攻擊時(shí)能定位錯(cuò)誤并找到防范失效的原因，作為內(nèi)部犯罪和事故后調(diào)查取證的基礎(chǔ)。

（4）完整性保證。利用密碼技術(shù)的完整性保護(hù)可以很好地對(duì)付非法篡改，當(dāng)信息源 的完整性可以被驗(yàn)證卻無法模仿時(shí)，可提供不可抵賴服務(wù)。

（5）權(quán)限和存取控制：針對(duì)網(wǎng)絡(luò)系統(tǒng)需要定義的各種不同用戶，根據(jù)正確的認(rèn)證，賦予其適當(dāng)?shù)牟僮鳈?quán)力，限制其越級(jí)操作。

（6）任務(wù)填充：在任務(wù)間歇期發(fā)送無用的具有良好模擬性能的隨機(jī)數(shù)據(jù)，以增加攻 擊者通過分析通信流量和破譯密碼獲得信息難度。2.3.2 網(wǎng)絡(luò)安全管理機(jī)制

網(wǎng)絡(luò)信息安全不僅僅是技術(shù)問題，更是一個(gè)管理問題，要解決網(wǎng)絡(luò)信息安全問題，必須制定正確的目標(biāo)策略，設(shè)計(jì)可行的技術(shù)方案，確定合理的資金技術(shù)，采取相應(yīng)的管 理措施和依據(jù)相關(guān)法律制度。

2.4 網(wǎng)絡(luò)安全策略

策略通常是一般性的規(guī)范，只提出相應(yīng)的重點(diǎn)，而不確切地說明如何達(dá)到所要的結(jié) 果，因此策略屬于安全技術(shù)規(guī)范的最高一級(jí)。2.4.1 安全策略的分類

安全策略分為基于身份的安全策略和基于規(guī)則的安全策略種?；谏矸莸陌踩呗?是過濾對(duì)數(shù)據(jù)或資源的訪問，有兩種執(zhí)行方法：若訪問權(quán)限為訪問者所有，典型的作法 為特權(quán)標(biāo)記或特殊授權(quán)，即僅為用戶及相應(yīng)活動(dòng)進(jìn)程進(jìn)行授權(quán)；若為訪問數(shù)據(jù)所有則可 以采用訪問控制表（ACL）。這兩種情況中，數(shù)據(jù)項(xiàng)的大小有很大的變化，數(shù)據(jù)權(quán)力命名 也可以帶自己的ACL。基于規(guī)則的安全策略是指建立在特定的，個(gè)體化屬性之上的授權(quán)準(zhǔn)則，授權(quán)通常依 賴于敏感性。在一個(gè)安全系統(tǒng)中，數(shù)據(jù)或資源應(yīng)該標(biāo)注安全標(biāo)記，而且用戶活動(dòng)應(yīng)該得 到相應(yīng)的安全標(biāo)記。

2.4.2 安全策略的配置

開放式網(wǎng)絡(luò)環(huán)境下用戶的合法權(quán)益通常受到兩種方式的侵害：主動(dòng)攻擊和被動(dòng)攻 擊，主動(dòng)攻擊包括對(duì)用戶信息的竊取，對(duì)信息流量的分析。根據(jù)用戶對(duì)安全的需求才可 以采用以下的保護(hù)：

（1）身份認(rèn)證；檢驗(yàn)用戶的身份是否合法、防止身份冒充、及對(duì)用戶實(shí)施訪問控制 數(shù)據(jù)完整性鑒別、防止數(shù)據(jù)被偽造、修改和刪除。

（2）信息保密；防止用戶數(shù)據(jù)被泄、竊取、保護(hù)用戶的隱私。（3）數(shù)字簽名；防止用戶否認(rèn)對(duì)數(shù)據(jù)所做的處理。（4）訪問控制；對(duì)用戶的訪問權(quán)限進(jìn)行控制。

（5）不可否認(rèn)性；也稱不可抵賴性，即防止對(duì)數(shù)據(jù)操作的否認(rèn)。2.4.3 安全策略的實(shí)現(xiàn)流程 安全策略的實(shí)現(xiàn)涉及到以下及個(gè)主要方面，（1）證書管理。主要是指公開密銀證書的產(chǎn)生、分配更新和驗(yàn)證。

（2）密銀管理。包括密銀的產(chǎn)生、協(xié)商、交換和更新，目的是為了在通信的終端系統(tǒng)之間建立實(shí)現(xiàn)安全策略所需的共享密銀。

（3）安全協(xié)作。是在不同的終端系統(tǒng)之間協(xié)商建立共同采用的安全策略，包括安全 策略實(shí)施所在層次、具體采用的認(rèn)證、加密算法和步驟、如何處理差錯(cuò)。（4）安全算法實(shí)現(xiàn)：具體算法的實(shí)現(xiàn)，如PES、RSA.（5）安全策略數(shù)據(jù)庫：保存與具體建立的安全策略有關(guān)的狀態(tài)、變量、指針。

2.5 網(wǎng)絡(luò)安全發(fā)展趨勢(shì)

總的看來，對(duì)等網(wǎng)絡(luò)將成為主流，與網(wǎng)格共存。網(wǎng)絡(luò)進(jìn)化的未來—綠色網(wǎng)絡(luò)—呼喚 著新的信息安全保障體系。國際互聯(lián)網(wǎng)允許自主接入，從而構(gòu)成一個(gè)規(guī)模龐大的，復(fù)雜的巨系統(tǒng)，在如此復(fù)雜 的環(huán)境下，孤立的技術(shù)發(fā)揮的作用有限，必須從整體的和體系的角度，綜合運(yùn)用系統(tǒng)論，控制論和信息論等理論，融合各種技術(shù)手段，加強(qiáng)自主創(chuàng)新和頂層設(shè)計(jì)，協(xié)同解決網(wǎng)絡(luò) 安全問題。保證網(wǎng)絡(luò)安全還需嚴(yán)格的手段，未來網(wǎng)絡(luò)安全領(lǐng)域可能發(fā)生三件事，其一是向更高 級(jí)別的認(rèn)證轉(zhuǎn)移；其二，目前存儲(chǔ)在用戶計(jì)算機(jī)上的復(fù)雜數(shù)據(jù)將“向上移動(dòng)”，由與銀 行相似的機(jī)構(gòu)確保它們的安全； 第三，是在全世界的國家和地區(qū)建立與駕照相似的制度，它們?cè)谟?jì)算機(jī)銷售時(shí)限制計(jì)算機(jī)的運(yùn)算能力，或要求用戶演示在自己的計(jì)算機(jī)受到攻擊 時(shí)抵御攻擊的能力。

第 3章 網(wǎng)絡(luò)安全問題解決對(duì)策

3.1 計(jì)算機(jī)安全級(jí)別的劃分

3.1.1 TCSEC 簡(jiǎn)介

1999年9 月13日國家質(zhì)量技術(shù)監(jiān)督局公布了我國第一部關(guān)于計(jì)算機(jī)信息系統(tǒng)安全 等級(jí)劃分的標(biāo)準(zhǔn)“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則”（GB17859-1999）。而國外同 標(biāo)準(zhǔn)的是美國國防部在1985年12月公布的可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)標(biāo)準(zhǔn)TCSEC(又稱桔皮 書)。在TCSEC劃分了 7個(gè)安全等級(jí)：D級(jí)、C1 級(jí)、C2級(jí)、B1級(jí)、B2級(jí)、B3級(jí)和A1級(jí)。其中D級(jí)是沒有安全機(jī)制的級(jí)別，A1級(jí)是難以達(dá)到的安全級(jí)別，下面對(duì)下各個(gè)安全級(jí)別進(jìn)行介紹：(1)D 類安全等級(jí)：D 類安全等級(jí)只包括 D1 一個(gè)級(jí)別。D1 的安全等級(jí)最低。D1 系統(tǒng)只為文件和用戶提供安全保護(hù)。D1 系統(tǒng)最普通的形式是本地操作系統(tǒng)，或者 是一個(gè)完全沒有保護(hù)的網(wǎng)絡(luò)。

(2)C 類安全等級(jí)：該類安全等級(jí)能夠提供審慎的保護(hù)，并為用戶的行動(dòng)和責(zé)任 提供審計(jì)能力。C 類安全等級(jí)可劃分為 C1 和 C2 兩類。C1 系統(tǒng)的可信任運(yùn)算基礎(chǔ) 體制（Trusted Computing Base，TCB）通過將用戶和數(shù)據(jù)分開來達(dá)到安全的目的。在 C1 系統(tǒng)中，所有的用戶以同樣的靈敏度來處理數(shù)據(jù)，即用戶認(rèn)為 C1 系統(tǒng)中的 所有文檔都具有相同的機(jī)密性。C2 系統(tǒng)比 C1 系統(tǒng)加強(qiáng)了可調(diào)的審慎控制。在連接 事件和資源隔離來增強(qiáng)這種控制。C2 系統(tǒng)具有 C1 系統(tǒng)中所有的安全性特征。

(3)B 類安全等級(jí)：B 類安全等級(jí)可分為 B1、B2 和 B3 三類。B 類系統(tǒng)具

有強(qiáng)制 性保護(hù)功能。強(qiáng)制性保護(hù)意味著如果用戶沒有與安全等級(jí)相連，系統(tǒng)就不會(huì)讓用 戶存取對(duì)象。B1 系統(tǒng)滿足下列要求：系統(tǒng)對(duì)網(wǎng)絡(luò)控制下的每個(gè)對(duì)象都進(jìn)行靈敏度 標(biāo)記；系統(tǒng)使用靈敏度標(biāo)記作為所有強(qiáng)迫訪問控制的基礎(chǔ)；系統(tǒng)在把導(dǎo)入的、非 標(biāo)記的對(duì)象放入系統(tǒng)前標(biāo)記它們；靈敏度標(biāo)記必須準(zhǔn)確地表示其所聯(lián)系的對(duì)象的 安全級(jí)別；當(dāng)系統(tǒng)管理員創(chuàng)建系統(tǒng)或者增加新的通信通道或 I/O 設(shè)備時(shí)，管理員 必須指定每個(gè)通信通道和 I/O 設(shè)備是單級(jí)還是多級(jí)，并且管理員只能手工改變指 定；單級(jí)設(shè)備并不保持傳輸信息的靈敏度級(jí)別；所有直接面向用戶位置的輸出（無 論是虛擬的還是物理的）都必須產(chǎn)生標(biāo)記來指示關(guān)于輸出對(duì)象的靈敏度；系統(tǒng)必 須使用用戶的口令或證明來決定用戶的安全訪問級(jí)別；系統(tǒng)必須通過審計(jì)來記錄 未授權(quán)訪問的企圖。B2 系統(tǒng)必須滿足 B1 系統(tǒng)的所有要求。另外，B2 系統(tǒng)的管理 員必須使用一個(gè)明確的、文檔化的安全策略模式作為系統(tǒng)的可信任運(yùn)算基礎(chǔ)體制。B2 系統(tǒng)必須滿足下列要求：系統(tǒng)必須立即通知系統(tǒng)中的每一個(gè)用戶所有與之相關(guān) 的網(wǎng)絡(luò)連接的改變；只有用戶能夠在可信任通信路徑中進(jìn)行初始化通信；可信任 運(yùn)算基礎(chǔ)體制能夠支持獨(dú)立的操作者和管理員。B3 系統(tǒng)必須符合 B2 系統(tǒng)的所有安 全需求。B3 系統(tǒng)具有很強(qiáng)的監(jiān)視委托管理訪問能力和抗干擾能力。B3 系統(tǒng)必須設(shè) 有安全管理員。B3 系統(tǒng)應(yīng)滿足以下要求:(a)B3 必須產(chǎn)生一個(gè)可讀的安全列表，每個(gè)被命名的對(duì)象提供對(duì)該對(duì)象沒有訪 問權(quán)的用戶列表說明；(b)B3 系統(tǒng)在進(jìn)行任何操作前，要求用戶進(jìn)行身份驗(yàn)證；(c)B3 系統(tǒng)驗(yàn)證每個(gè)用戶，同時(shí)還會(huì)發(fā)送一個(gè)取消訪問的審計(jì)跟蹤消息；設(shè)計(jì) 者必須正確區(qū)分可信任的通信路徑和其他路徑；可信任的通信基礎(chǔ)體制為每一個(gè) 被命名的對(duì)象建立安全審計(jì)跟蹤；可信任的運(yùn)算基礎(chǔ)體制支持獨(dú)立的安全管理。

(4)A 類安全等級(jí)：A 系統(tǒng)的安全級(jí)別最高。目前，A 類安全等級(jí)只包含 A1 一個(gè) 安全類別。A1 類與 B3 類相似，對(duì)系統(tǒng)的結(jié)構(gòu)和策略不作特別要求。A1 系統(tǒng)的顯 著特征是，系統(tǒng)的設(shè)計(jì)者必須按照一個(gè)正式的設(shè)計(jì)規(guī)范來分析系統(tǒng)。對(duì)系統(tǒng)分析 后，設(shè)計(jì)者必須運(yùn)用核對(duì)技術(shù)來確保系統(tǒng)符合設(shè)計(jì)規(guī)范。A1 系統(tǒng)必須滿足下列要 求：系統(tǒng)管理員必須從開發(fā)者那里接收到一個(gè)安全策略的正式模型;所有的安裝操 作都必須由系統(tǒng)管理員進(jìn)行；系統(tǒng)管理員進(jìn)行的每一步安裝操作都必須有正式文 檔。

3.1.3 安全等級(jí)標(biāo)準(zhǔn)模型

計(jì)算機(jī)信息系統(tǒng)的安全模型主要又訪問監(jiān)控器模型、軍用安全模仿和信息流模型等 三類模型，它們是定義計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分標(biāo)準(zhǔn)的依據(jù)。

（1）訪問監(jiān)控模型：是按 TCB 要求設(shè)計(jì)的，受保護(hù)的客體要么允許訪問，要么不允許 訪問。

（2）常用安全模型：是一種多級(jí)安全模型，即它所控制的信息分為絕密、機(jī)密、秘密 和無密4種敏感級(jí)。

（3）信息流模型：是計(jì)算機(jī)中系統(tǒng)中系統(tǒng)中信息流動(dòng)路徑，它反映了用戶在計(jì)算機(jī)系 統(tǒng)中的訪問意圖。信息流分直接的和間接的兩種。

3.2 防火墻技術(shù)

隨著網(wǎng)絡(luò)安全問題日益嚴(yán)重，網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品也被人們逐漸重視起來，防火墻 作為最早出現(xiàn)的網(wǎng)絡(luò)安全技術(shù)和使用量最大的網(wǎng)絡(luò)安全產(chǎn)品，受到用戶和研發(fā)機(jī)構(gòu)的親睞。

3.2.1 防火墻的基本概念與作用 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域

之間的一系列部件的組合，它執(zhí)行預(yù)先制 定的訪問控制策略，決定了網(wǎng)絡(luò)外部與網(wǎng)絡(luò)內(nèi)部的訪問方式。在網(wǎng)絡(luò)中，防火墻實(shí)際是一種隔離技術(shù)，它所執(zhí)行的隔離措施有：

（1）拒絕未經(jīng)授權(quán)的用戶訪問內(nèi)部網(wǎng)和存取敏感數(shù)據(jù)。（2）允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。

而它的核心思想是在不安全的因特網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境，其目的 是保護(hù)一個(gè)網(wǎng)絡(luò)不受另一個(gè)網(wǎng)絡(luò)的攻擊，所以防火墻又有以下作用：

（1）作為網(wǎng)絡(luò)安全的屏障。一個(gè)防火墻作為阻塞節(jié)點(diǎn)和控制節(jié)點(diǎn)能極大地提高一個(gè) 內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)，只有經(jīng)過精心選擇的應(yīng)用協(xié) 議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。

（2）可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置，能將所有的安 全軟件配置在防火墻上，體現(xiàn)集中安全管理更經(jīng)濟(jì)。

（3）對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。如果所有的訪問都經(jīng)過防火墻，那么，防火 墻就能記錄下這些訪問并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)，當(dāng)發(fā) 生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。

（4）防止內(nèi)部信息的外泄。通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn) 網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。

（5）支持具有因特網(wǎng)服務(wù)性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。

3.2.2 防火墻的工作原理

從防火墻的作用可以看出，防火墻必須具備兩個(gè)要求：保障內(nèi)部網(wǎng)安全和保障內(nèi)部 網(wǎng)和外部網(wǎng)的聯(lián)通。因此在邏輯上防火墻是一個(gè)分離器、限制器、分析器。

防火墻根據(jù)功能實(shí)現(xiàn)在 TCP/IP 網(wǎng)絡(luò)模型中的層次，其實(shí)現(xiàn)原理可以分為三類：在 網(wǎng)絡(luò)層實(shí)現(xiàn)防火墻功能為分組過濾技術(shù)；在應(yīng)用層實(shí)現(xiàn)防火墻功能為代理服務(wù)技術(shù)；在 網(wǎng)絡(luò)層，IP層，應(yīng)用層三層實(shí)現(xiàn)防火墻為狀態(tài)檢測(cè)技術(shù)。

（1）分組過濾技術(shù) 實(shí)際上是基于路由器技術(shù)，它通常由分組過濾路由器對(duì)IP分組進(jìn)行分組選擇，允 許或拒絕特定的IP數(shù)據(jù)包，工作于IP層。

（2）代理服務(wù)技術(shù) 以一個(gè)高層的應(yīng)用網(wǎng)關(guān)作為代理服務(wù)器，接受外來的應(yīng)用連接請(qǐng)求，在代理服務(wù)器 上進(jìn)行安全檢查后，再與被保護(hù)的應(yīng)用服務(wù)器連接，使外部用戶可以在受控制的前提下 使用內(nèi)部網(wǎng)絡(luò)的服務(wù)，由于代理服務(wù)作用于應(yīng)用層，它能解釋應(yīng)用層上的協(xié)議，能夠作復(fù)雜和更細(xì)粒度的 訪問控制；同時(shí)，由于所有進(jìn)出服務(wù)器的客戶請(qǐng)求必須通過代理網(wǎng)關(guān)的檢查，可以作出 精細(xì)的注冊(cè)和審計(jì)記錄，并且可以與認(rèn)證、授權(quán)等安全手段方便地集成，為客戶和服務(wù) 提供更高層次的安全保護(hù)。

（3）狀態(tài)檢測(cè)技術(shù) 此技術(shù)工作在IP/TCP/應(yīng)用層，它結(jié)合了分組過濾和代理服務(wù)技術(shù)的特點(diǎn)，它同分 組過濾一樣，在應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，分析高層的協(xié)議數(shù)據(jù)，查看內(nèi)容是否符 合網(wǎng)絡(luò)安全策略。

第4 章 網(wǎng)絡(luò)安全防范

4.1 telnet 入侵防范

Telnet 協(xié)議是 TCP/IP 協(xié)議族中的一員，是 Internet 遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié) 議和主要方式。它為用戶提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。在終 端使用者的電腦上使用telnet程序，用它連接到服務(wù)器。終端使用者可以在telnet 程序中輸入命令，這些命令會(huì)在服務(wù)器上運(yùn)行，就像直接在服務(wù)器的控制臺(tái)上輸 入一樣?？梢栽诒镜鼐湍芸刂品?wù)器。要開始一個(gè) telnet 會(huì)話，必須輸入用戶名 和密碼來登錄服務(wù)器。Telnet 是常用的遠(yuǎn)程控制 Web 服務(wù)器的方法。telnet可能是黑客常用的攻擊方式，我們可以通過修改telnet服務(wù)端口，停用 telnet服務(wù)，甚至把telnet控制臺(tái)管理工具刪除。

4.2 防止 Administrator 賬號(hào)被破解

Windows 2000/xp/2003系統(tǒng)的 Administrator賬號(hào)是不能被停用的，也不能設(shè)置安全策略，這樣黑客就可以一遍又一遍地嘗試這個(gè)賬號(hào)的密碼，直到被破解，為了防止這 種侵入，我們可以把 Administrator賬號(hào)更名：在“組策略”窗口中，依次展開“本地計(jì) 算機(jī)策略”/“計(jì)算機(jī)配置”/“windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選 項(xiàng)”功能分支。重命名系統(tǒng)管理員帳戶“屬性”對(duì)話框，在此輸入新的管理員名稱，盡 量把它為普通用戶，然后另建一個(gè)超過 10 位的超級(jí)復(fù)雜密碼，并對(duì)該賬號(hào)啟用審核，這樣即使黑客費(fèi)力破解到密碼也殺一無所獲。另外為了防止黑客通過Guest賬號(hào)登錄計(jì) 算機(jī)，可以在“組策略”中刪除Guest賬號(hào)。

4.3 防止賬號(hào)被暴力破解

黑客攻擊入侵，大部分利用漏洞，通過提升權(quán)限成為管理員，這一切都跟用戶賬號(hào) 緊密相連。防范方法：通過修改注冊(cè)表來禁用空用戶連接。

4.4 “木馬”防范措施

4.4.1“木馬”的概述 特洛伊木馬是一種隱藏了具有攻擊性的應(yīng)用程序。與病毒不同，它不具備復(fù)制能力，其功能具有破壞性。大部分“木馬”采用C/S運(yùn)行模式，當(dāng)服務(wù)端在目標(biāo)計(jì)算機(jī)上被運(yùn)行后，打開一個(gè) 特定的端口進(jìn)行監(jiān)聽，當(dāng)客戶端向服務(wù)器發(fā)出連接請(qǐng)求時(shí)，服務(wù)器端的相應(yīng)程序會(huì)自動(dòng) 運(yùn)行來應(yīng)答客戶機(jī)的請(qǐng)求。

4.4.2 “木馬”的防范措施

（1）檢查系統(tǒng)配置應(yīng)用程序。在“木馬”程序會(huì)想盡一切辦法隱藏自己，主要途徑 有：在任務(wù)欄和任務(wù)管理器中隱藏自己，即將程序設(shè)為“系統(tǒng)服務(wù)”來偽裝自己，“木 馬”會(huì)在每次服務(wù)端啟動(dòng)時(shí)自動(dòng)裝載到系統(tǒng)中。（2）查看注冊(cè)表。

（3）查找“木馬”的特征文件，“木馬”的一個(gè)特征文件是kernl32.exe,另一個(gè)是 sysexlpr.exe，只要?jiǎng)h除了這兩個(gè)文件，“木馬”就不起作用了，但是需要注意的是 sysexlpr.exe是和文本文件關(guān)聯(lián)的，在刪除時(shí)，必須先把文本文件跟notepod關(guān)聯(lián)上，否則不能使用文本文件。

4.5 網(wǎng)頁惡意代碼及防范

目前，網(wǎng)頁中的惡意代碼開始威脅到網(wǎng)絡(luò)系統(tǒng)安全，一般分為以下幾種：（1）消耗系統(tǒng)資源。

（2）非法向用戶硬盤寫入文件。

（3）IE泄露，利用IE漏洞，網(wǎng)頁可以讀取客戶機(jī)的文件，就可以從中獲得用戶賬號(hào) 和密碼。

（4）利用郵件非法安裝木馬。4.5.1 惡意代碼分析

在html中利用死循環(huán)原理，交叉顯示耀眼的光線，如果繼續(xù)插入編寫的一段代碼，擴(kuò)大惡意程度，那么IE將無法使用。

4.5.2 網(wǎng)頁惡意代碼的防范措施

（1）運(yùn)行IE時(shí)，點(diǎn)擊“工具→Internet選項(xiàng)→安全→ Internet區(qū)域的安全級(jí)別”，把安全級(jí)別由 “中” 改為 “高”。網(wǎng)頁惡意代碼主要是含有惡意代碼的ActiveX或Applet、JavaScript的網(wǎng)頁文件，所以在IE設(shè)置中將ActiveX插件和控件、Java腳本等全部 禁止就可以減少被網(wǎng)頁惡意代碼感染的幾率。具體方案是：在IE窗口中點(diǎn)擊“工具” →“Internet選項(xiàng)”，在彈出的對(duì)話框中選擇“安全”標(biāo)簽，再點(diǎn)擊“自定義級(jí)別”按 鈕，就會(huì)彈出“安全設(shè)置”對(duì)話框，把其中所有ActiveX插件和控件以及與Java相關(guān) 全部選項(xiàng)選擇“禁用”。

（2）網(wǎng)頁惡意代碼大多是在訪問網(wǎng)站時(shí)候誤下載和激活的，所以不要進(jìn)入不信任的 陌生網(wǎng)站，對(duì)于網(wǎng)頁上的各種超級(jí)連接不要盲目去點(diǎn)擊，若被強(qiáng)制安裝惡意代碼，一經(jīng) 發(fā)現(xiàn)立即刪除，或者安裝相應(yīng)的惡意代碼清除工具，或本機(jī)防火墻軟件。

第6 章 結(jié)束語

互聯(lián)網(wǎng)的各種安全威脅時(shí)刻影響著校園網(wǎng)的運(yùn)行和管理，加強(qiáng)校園網(wǎng)的安全管理是 當(dāng)前重要任務(wù)。校園網(wǎng)是學(xué)校信息系統(tǒng)的核心，必須建立有效的網(wǎng)絡(luò)安全防范體系保證 網(wǎng)絡(luò)應(yīng)用的安全。本文主要以當(dāng)前網(wǎng)絡(luò)安全存在的威脅和可能面臨的攻擊，設(shè)計(jì)了并實(shí) 現(xiàn)網(wǎng)絡(luò)攻擊的防御措施，并以研究成果為依據(jù)提出了一種以安全策略為核心，防護(hù)、檢 測(cè)和響應(yīng)為手段的一種校園網(wǎng)安全防范體系來保證校園網(wǎng)絡(luò)安全的一個(gè)實(shí)用的解決方 案。當(dāng)前，如何確保計(jì)算機(jī)網(wǎng)絡(luò)的安全性是任何一個(gè)網(wǎng)絡(luò)的設(shè)計(jì)者和管理者都極為關(guān)心 的熱點(diǎn)。由于因特網(wǎng)協(xié)議的開放性，使得計(jì)算機(jī)網(wǎng)絡(luò)的接入變得十分容易。正是在這樣 得背景下，能夠威脅到計(jì)算機(jī)網(wǎng)絡(luò)安全的因素就非常多。所以，人們研究和開發(fā)了各種 安全技術(shù)和手段，努力構(gòu)建一種可靠的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)。這種安全系統(tǒng)的構(gòu)建實(shí)際 上就是針對(duì)已經(jīng)出現(xiàn)的各種威脅(或者是能夠預(yù)見的潛在威脅)，采用相應(yīng)的安全策略與 安全技術(shù)解除這些威脅對(duì)網(wǎng)絡(luò)的破壞的過程。當(dāng)然，隨著計(jì)算機(jī)網(wǎng)絡(luò)的擴(kuò)大，威脅網(wǎng)絡(luò) 安全因素的變化使得這個(gè)過程是一個(gè)動(dòng)態(tài)的過程。計(jì)算機(jī)網(wǎng)絡(luò)安全問題實(shí)質(zhì)上也是網(wǎng)絡(luò) 安全對(duì)抗的過程。但也涉及了校園網(wǎng)絡(luò)內(nèi)部的管理問題，制度問題，業(yè)務(wù)問題等等；所 以任何計(jì)算機(jī)網(wǎng)絡(luò)安全體系一定不是可以一勞永逸地防范任何攻擊的。人們力圖建立的 只能是一個(gè)動(dòng)態(tài)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。它是一個(gè)動(dòng)態(tài)加靜態(tài)的防御，是被動(dòng)加主動(dòng)的防 御，甚至是抗擊，是計(jì)算機(jī)網(wǎng)

絡(luò)管理技術(shù)加計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的完整安全觀念。校園網(wǎng)面臨著一系列的安全問題，受到來自外部和內(nèi)部的攻擊(如病毒困擾,非授權(quán) 訪問等)。目前國內(nèi)許多高校存在校區(qū)分散的狀況，各校區(qū)間通信的安全連接還存在問 題。但一般的校園網(wǎng)安全方案存在安全手段單一的問題，大多只是簡(jiǎn)單地采用防火墻等 有限措施來保護(hù)網(wǎng)絡(luò)安全。而這些措施往往存在很大的局限性，它們不能覆蓋實(shí)現(xiàn)整個(gè) 校園網(wǎng)安全的各個(gè)層次、各個(gè)方位，這樣的網(wǎng)絡(luò)系統(tǒng)就存在很多的安全隱患。比如缺乏 強(qiáng)健的認(rèn)證、授權(quán)和訪問控制等，往往使攻擊者有機(jī)可乘;管理員無法了解網(wǎng)絡(luò)的漏洞 和可能發(fā)生的攻擊。傳統(tǒng)的被動(dòng)式抵御方式只能等待入侵者的攻擊，而缺乏主動(dòng)防范的 功能:對(duì)于已經(jīng)或正在發(fā)生的攻擊缺乏有效的追查手段；對(duì)從網(wǎng)絡(luò)進(jìn)入的病毒等無法控 制等，除此以外大多用戶安全意識(shí)都很淡薄，這些都是我們需要注意和解決的安全問題。本文首先從多個(gè)角度研究了計(jì)算機(jī)網(wǎng)絡(luò)的安全性，針對(duì)各種不同的威脅與攻擊研究 了解決它們的相應(yīng)安全技術(shù)。接下來，在一般意義下制定計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的策 略與原則，提出了計(jì)算機(jī)網(wǎng)絡(luò)安全的解決方案。但是，計(jì)算機(jī)網(wǎng)絡(luò)安全的問題是一個(gè)永 久的課題，它將隨著計(jì)算機(jī)技術(shù)、計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展而一直存在、一直發(fā)展。計(jì)算機(jī)網(wǎng)絡(luò)的威脅與計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)會(huì)一直較量下去，本文采用的技術(shù)也不能說是非常完 善的，一方面因?yàn)榫W(wǎng)絡(luò)攻防技術(shù)都是在不斷發(fā)展中，另一方面是因?yàn)樵O(shè)計(jì)者的水平有限。且網(wǎng)絡(luò)安全本身是一個(gè)十分復(fù)雜的技術(shù)問題，解決的手段也是多樣的。所以，計(jì)算機(jī)網(wǎng) 絡(luò)安全技術(shù)是個(gè)永無止境的研究課題。

致謝 本次畢業(yè)設(shè)計(jì)得到指導(dǎo)老師的悉心指導(dǎo)，從文獻(xiàn)的查閱、論文的選題、撰寫、修改、定稿，我的每一個(gè)進(jìn)步都和麥老師的關(guān)注與指導(dǎo)密不可分。麥老師淵博的學(xué)識(shí)、嚴(yán)謹(jǐn)?shù)?治學(xué)態(tài)度和豐富的實(shí)踐經(jīng)驗(yàn)使我在做論文間受益非淺，麥老師不僅使我在理論知識(shí)和實(shí) 踐經(jīng)驗(yàn)上得到長進(jìn)，而且培養(yǎng)了更為系統(tǒng)和科學(xué)的學(xué)習(xí)和工作方法。在此謹(jǐn)向麥老師表 示衷心的感謝和誠摯的敬意!并感謝所有的同學(xué)對(duì)我學(xué)習(xí)、生活的關(guān)心和幫助！論文即 將完成之際，感慨萬千。最后，我要感謝我的母校，以及大學(xué)的所有老師。謝謝您們這 三年來在大學(xué)里給我的培養(yǎng)和啟示，讓我今生難忘。

參考文獻(xiàn)

[1] 邵波，王其和.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及應(yīng)用.北京：電子工業(yè)出版社，2005.11：17-18 [2] 蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京：中國水利水電出版社,2005，52-56 [3] 陳健偉，張輝.計(jì)算機(jī)網(wǎng)絡(luò)與信息安全[M].北京：希望電子出版社，2006.2：42-43 [4] 王銳，陳靚，靳若明，周剛.網(wǎng)絡(luò)最高安全技術(shù)指南[M].北京：機(jī)械工業(yè)出版社，1998，12-14 [5] 王宇，盧昱.計(jì)算機(jī)網(wǎng)絡(luò)安全與控制技術(shù)[M].北京：科學(xué)出版社，2005.6：19-20 [6] ClarkMPNetwork&teleeo nrnunieationsdesignandoPeration[M].Chiehester: JolinWiley&Sons,1997,25-27 [7] 賈晶，陳元，王麗娜.信息系統(tǒng)的安全與保密[M].北京:清華大學(xué)出版社，2003，62-68 [8] [美]MarcFarley.LANTimesGuidetosee tyandDataIntegrity[M].北京:機(jī)械工 業(yè)出

版社，1998，82-85 [9] 宋勁松.網(wǎng)絡(luò)入侵檢測(cè)：分析、發(fā)現(xiàn)和報(bào)告攻擊[M].國防工業(yè)出版社,2004.9:26-28 [10] 馮登國.計(jì)算機(jī)通信網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社，2001，3 [11] [美]斯托林斯.密碼編碼學(xué)與網(wǎng)絡(luò)安全——原理與實(shí)踐（第三版）[M].電子工業(yè)出版 社,2005,12-14 [12] 張小斌，嚴(yán)望佳.黑客分析與防范技術(shù)[M].北京:清華大學(xué)出版社，1999，22-23 [13] PtacekT，Newsham N.Insertion.EvasionandDenialofServiee:EludingNetwork IntrUsioneteetion[M].SeeureNetworkslnc，1998,59-60 [14] 劉冰.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用[M].北京：機(jī)械工業(yè)出版社，2008.1:36-38 [15] 影印.密碼學(xué)與網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2005.1:99-102 [16] 卡哈特.密碼學(xué)與網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2005.9:100-102 [17] 關(guān)桂霞.網(wǎng)絡(luò)安全概論[M].電子工業(yè)出版社,2004.10:23-24 [18] 羅森林,高平.信息系統(tǒng)安全與對(duì)抗技術(shù)實(shí)驗(yàn)教程.北京：北京理工大學(xué)出版社，2005.1:49-50 [19] 潘瑜.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京：科學(xué)出版社，2006，23 [20] 華師傅資訊編著.黑客攻防疑難解析與技巧800例.北京:中國鐵道出版社，2008，219 [21] 謝冬青，冷鍵，雄偉.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京：機(jī)械工業(yè)出版社，2007,46-47 [22] 宋勁松.網(wǎng)絡(luò)入侵檢測(cè)：分析、發(fā)現(xiàn)和報(bào)告攻擊[M].國防工業(yè)出版社,2004.9:78-79 [23] 肖軍.網(wǎng)絡(luò)信息對(duì)抗[M].北京：機(jī)械工業(yè)出版社，2005.8：326-327 [24] 王竹林.校園網(wǎng)組建和管理[M].北京：清華大學(xué)出版社，2002，259-260 [25] 胡道元 閔京華.網(wǎng)絡(luò)安全[M].清華大學(xué)出版社，論文小結(jié)

時(shí)光飛逝，轉(zhuǎn)眼間我們就要大學(xué)畢業(yè)了。這次畢業(yè)設(shè)計(jì)給了我很大的感想！通過這 次的畢業(yè)設(shè)計(jì)真的讓我學(xué)到了很多東西。在畢業(yè)設(shè)計(jì)的這段時(shí)間里，我發(fā)現(xiàn)自己了的缺 陷和不足，而且還非常的缺乏經(jīng)驗(yàn)，令我印象最深刻的是在設(shè)計(jì)過程中會(huì)遇到各中各樣 細(xì)節(jié)上的問題，這些問題給我的進(jìn)度造成了一些很大的影響，但我并沒有氣餒，在查閱 了大量資料反復(fù)演算，點(diǎn)點(diǎn)滴滴的修改后終于解決。繪圖過程中也會(huì)遇到麻煩，比如怎 樣最清晰的表達(dá)自己的設(shè)計(jì)思路，如何去解決面臨的以前自己沒有涉及的領(lǐng)域！甚至有 些參考書上的很多東西不是標(biāo)準(zhǔn)的。幸虧有大量朋友和老師的指導(dǎo)，使我改正了在書上 看到的不正確的知識(shí)。老師們的知識(shí)真的很淵博!經(jīng)驗(yàn)也特別豐富。我的論文，在制作的 過程中很存在很多的問題。感謝那些老師和網(wǎng)絡(luò)上的朋友對(duì)我進(jìn)行的耐心指導(dǎo)!通過這次畢業(yè)設(shè)計(jì)，提高了我的獨(dú)立思考分析以及解決問題的能力，在設(shè)計(jì)的整個(gè) 過程中，能夠進(jìn)一步將所學(xué)的設(shè)計(jì)軟件熟練運(yùn)用，對(duì)以往學(xué)過的理論基礎(chǔ)知識(shí)進(jìn)行復(fù)習(xí)運(yùn)用，對(duì)未涉及過的知識(shí)領(lǐng)域做了一次大膽的嘗試，并通過此次畢業(yè)設(shè)計(jì)對(duì)計(jì)算機(jī)知識(shí) 有一個(gè)拓展，了解網(wǎng)絡(luò)安全的前沿技術(shù)，以理論結(jié)合實(shí)際進(jìn)一步提高自己的動(dòng)手能力，為將來進(jìn)入工作崗位打好基礎(chǔ)。

附錄

計(jì)算機(jī)通用端口列表：

端口：0 服務(wù)：Reserved 說明：通常用于分析操作系統(tǒng)。這一方法能夠工作是因?yàn)樵谝恍┫到y(tǒng)中“0”是無效端口，當(dāng)你試圖使用通常的閉合端口連接它時(shí)將產(chǎn)生不同的結(jié)果。一種典型的掃描，使用IP地址為0.0.0.0，設(shè)置ACK位并在以太網(wǎng)層廣播。端口：1 服務(wù)：tcpmux 說明：這顯示有人在尋找SGI Irix機(jī)器。Irix 是實(shí)現(xiàn)tcpmux的主要提供者，默認(rèn)情況下tcpmux在這種系統(tǒng)中被打開。端口：7 服務(wù)：Echo 說明：能看到許多人搜索Fraggle放大器時(shí)，發(fā)送到X.X.X.0和X.X.X.255的信息。端口：19 服務(wù)：Character Generator 說明：這是一種僅僅發(fā)送字符的服務(wù)。UDP版本將會(huì)在收到UDP包后回應(yīng)含有垃圾字符的包。TCP連接時(shí)會(huì)發(fā)送含有垃圾字符的數(shù)據(jù)流直到連接關(guān)閉。HACKER利用IP欺騙可以發(fā)動(dòng)DoS攻擊。偽造兩個(gè)chargen服務(wù)器之間的UDP包。同樣Fraggle DoS攻擊向目標(biāo)地址的這個(gè)端口廣播一個(gè)帶有偽造受害者IP的數(shù)據(jù)包，受害者為了回應(yīng)這些數(shù)據(jù)而過載。

第三篇：網(wǎng)絡(luò)安全技術(shù)及防護(hù)管理論文

1網(wǎng)絡(luò)安全的重要性

計(jì)算機(jī)網(wǎng)絡(luò)分布廣，體系結(jié)構(gòu)具有開放性，這一點(diǎn)也為網(wǎng)絡(luò)系統(tǒng)帶來了安全性問題，從廣義上來說，凡是涉及到網(wǎng)絡(luò)信息的完整性、可用性、保密性的相關(guān)技術(shù)與理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

2網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)探析

（1）用戶使用的風(fēng)險(xiǎn)

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與用戶的使用有直接聯(lián)系，用戶在使用計(jì)算機(jī)時(shí)缺乏一定的安全意識(shí)，在具體操作中會(huì)產(chǎn)生一些操作失誤，容易將不必要的軟件安裝到計(jì)算機(jī)中，從而出現(xiàn)安全漏洞，給入侵者創(chuàng)造了機(jī)會(huì)。

（2）操作系統(tǒng)的安全風(fēng)險(xiǎn)

部分單位企業(yè)在利用網(wǎng)絡(luò)技術(shù)操作時(shí)很少去考慮系統(tǒng)的安全性、可靠性，對(duì)操作系統(tǒng)安全機(jī)制設(shè)置不足，長此以往，安全風(fēng)險(xiǎn)會(huì)逐漸增大，本文將對(duì)計(jì)算機(jī)軟件中的安全漏洞進(jìn)行分析，增加安全機(jī)制，凈化網(wǎng)絡(luò)環(huán)境。

（3）網(wǎng)絡(luò)結(jié)構(gòu)安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)結(jié)構(gòu)安全風(fēng)險(xiǎn)，一般都是由一些不良入侵者闖入企業(yè)單位內(nèi)部進(jìn)行信息盜取，使大多數(shù)企業(yè)面臨極大安全威脅。電腦高手的入侵手段多種多樣，如，遠(yuǎn)程攻擊、內(nèi)部攻擊。遠(yuǎn)程攻擊手段可以利用任意一臺(tái)機(jī)器連接網(wǎng)絡(luò)實(shí)現(xiàn)，內(nèi)部攻擊是指來自本地系統(tǒng)中的攻擊，例如“特洛伊木馬”、Sniff監(jiān)聽、緩沖區(qū)溢出攻擊等。“特洛伊木馬”是指看起來像是執(zhí)行用戶所需要的功能，但實(shí)際上通常是有害的功能程序。而Sniff監(jiān)聽是一種以被動(dòng)方式在網(wǎng)絡(luò)上竊取數(shù)據(jù)的攻擊工具，電腦高手利用Sniff可以輕而易舉獲取有用信息，再通過信息的分析達(dá)到控制網(wǎng)絡(luò)的最終目的。緩沖區(qū)溢出攻擊是指當(dāng)目標(biāo)系統(tǒng)服務(wù)程序存在緩沖溢出漏洞時(shí)，通過向服務(wù)程序緩沖區(qū)寫入超出一定長度的內(nèi)容，以至于破壞程序的堆棧。

（4）安全漏洞的出現(xiàn)

計(jì)算機(jī)軟件漏洞的出現(xiàn)與很多因素有關(guān)。主要是由于設(shè)計(jì)人員在對(duì)軟件進(jìn)行開發(fā)研制時(shí)操作失誤而產(chǎn)生，安全漏洞在一般情況下不會(huì)對(duì)計(jì)算機(jī)軟件工作造成影響，一旦漏洞被電腦高手所利用，便會(huì)導(dǎo)致軟件運(yùn)行錯(cuò)誤，使計(jì)算機(jī)無法正常工作。漏洞的特性有四點(diǎn)：①在數(shù)據(jù)處理中由于粗心而造成的邏輯錯(cuò)誤；②技術(shù)人員在編碼中遇到邏輯性錯(cuò)誤而產(chǎn)生；③計(jì)算機(jī)本身環(huán)境不穩(wěn)定，使漏洞頻繁出現(xiàn)；④在不同軟硬件版本上設(shè)置的不同也會(huì)導(dǎo)致漏洞產(chǎn)生。安全漏洞的出現(xiàn)對(duì)網(wǎng)絡(luò)安全起到了致命的影響。

3網(wǎng)絡(luò)安全技術(shù)分類研究

（1）虛擬網(wǎng)技術(shù)

虛擬網(wǎng)技術(shù)的發(fā)展基于ATM與以太網(wǎng)技術(shù)，它對(duì)于網(wǎng)絡(luò)設(shè)置訪問有一定控制作用，為網(wǎng)絡(luò)安全的運(yùn)行帶來了顯著效果。然而隨著虛擬網(wǎng)交換設(shè)備越來越復(fù)雜，該技術(shù)也帶來了新的安全問題。

（2）防火墻技術(shù)

防火墻技術(shù)是一種用于加強(qiáng)網(wǎng)絡(luò)控制的技術(shù)。它對(duì)于網(wǎng)絡(luò)互聯(lián)設(shè)備的保護(hù)、內(nèi)部網(wǎng)絡(luò)資源的訪問以及網(wǎng)絡(luò)數(shù)據(jù)之間的傳輸都有一定作用。防火墻技術(shù)對(duì)于電腦高手的襲擊有一定效果，然而該技術(shù)在實(shí)際應(yīng)用中也逐漸呈現(xiàn)出一些安全問題，對(duì)于病毒軟件的傳送不能完全阻止，為用戶帶來了極大的威脅。

（3）安全漏洞檢測(cè)技術(shù)

安全漏洞檢測(cè)技術(shù)包括靜態(tài)檢測(cè)技術(shù)與動(dòng)態(tài)檢測(cè)技術(shù)，靜態(tài)檢測(cè)技術(shù)主要是利用程序分析技術(shù)來對(duì)二進(jìn)制代碼進(jìn)行全面的分析，分析方法有五種：①詞法分析；②規(guī)則檢測(cè)，規(guī)則檢測(cè)技術(shù)主要是對(duì)程序本身進(jìn)行檢查；③類型推導(dǎo)，它主要是通過程序的變量來推導(dǎo)變量訪問的正常與否；④模型檢測(cè)，模型檢測(cè)主要是利用隱式不動(dòng)點(diǎn)來對(duì)系統(tǒng)狀態(tài)進(jìn)行驗(yàn)證；⑤定理證明，這種技術(shù)通常是用來判斷被檢測(cè)程序公式的正確與否。動(dòng)態(tài)檢測(cè)技術(shù)是指在源代碼不變的情況下對(duì)計(jì)算機(jī)程序進(jìn)行動(dòng)態(tài)檢測(cè)，它對(duì)電腦高手的惡意代碼能夠進(jìn)行有效攔截。

（4）混合檢測(cè)技術(shù)

混合檢測(cè)技術(shù)充分結(jié)合了兩種技術(shù)的優(yōu)點(diǎn)，同時(shí)又避免了二者的缺點(diǎn)，在一定程度上提高了檢測(cè)效率及準(zhǔn)確率，它主要是通過自動(dòng)化漏洞挖掘器Fuzzing檢測(cè)技術(shù)來實(shí)現(xiàn)，對(duì)程序運(yùn)行中出現(xiàn)的異常信息進(jìn)行分析，漏洞挖掘器根據(jù)挖掘?qū)ο蟮牟煌煌?，大大提高自?dòng)化檢測(cè)效率。

4網(wǎng)絡(luò)安全技術(shù)的有效應(yīng)用

（1）虛擬網(wǎng)技術(shù)的有效應(yīng)用

VPN技術(shù)是虛擬網(wǎng)技術(shù)的重要組成部分，它能有效地控制網(wǎng)絡(luò)專用線路的投入資金，對(duì)于設(shè)備的要求也相對(duì)簡(jiǎn)單，盡管其復(fù)雜性對(duì)于網(wǎng)絡(luò)安全的保障有一定影響，但是該技術(shù)具有較高的應(yīng)用價(jià)值，其發(fā)展空間也非常廣泛。MPLS技術(shù)也是虛擬網(wǎng)技術(shù)的組成部分之一，該技術(shù)的應(yīng)用需要建立分層服務(wù)的提供商，通過CR-LDP方式來建立LSP，為用戶提供更多的優(yōu)質(zhì)服務(wù)，而這個(gè)步驟的關(guān)鍵就在于必須對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行傳輸，與CE設(shè)備進(jìn)行連接，傳輸形式為DLCL.33。在虛擬網(wǎng)絡(luò)技術(shù)中最為常用的應(yīng)該是IPSecVPN技術(shù)，該技術(shù)對(duì)于網(wǎng)絡(luò)系統(tǒng)的安全性能有一定保障作用，為用戶提供完整的數(shù)據(jù)。

（2）防火墻技術(shù)的有效應(yīng)用

防火墻技術(shù)分為代理、NAT、包過濾、狀態(tài)監(jiān)測(cè)等幾種技術(shù)。以包過濾技術(shù)的應(yīng)用為例。包過濾技術(shù)對(duì)于網(wǎng)絡(luò)安全的改善有一定作用它能將網(wǎng)絡(luò)運(yùn)行過程的一些問題呈現(xiàn)出來，不遺余力地將網(wǎng)絡(luò)虛假的安全感破壞掉，對(duì)網(wǎng)絡(luò)安全進(jìn)行修復(fù)，我們?cè)诶迷摷夹g(shù)時(shí)，必須對(duì)其優(yōu)勢(shì)及確缺點(diǎn)充分了解，讓其有效性得到完全發(fā)揮。

（3）安全漏洞技術(shù)的有效應(yīng)用

安全漏洞的出現(xiàn)具有隨機(jī)性，技術(shù)人員很難對(duì)其進(jìn)行把控，檢測(cè)技術(shù)則可以隨時(shí)對(duì)安全漏洞的出現(xiàn)進(jìn)行預(yù)防。對(duì)于在競(jìng)爭(zhēng)條件下形成的漏洞，我們可以采取將競(jìng)爭(zhēng)的編碼應(yīng)用原子化來進(jìn)行操作，在執(zhí)行單位中，編碼是最小的。因此，在程序運(yùn)行過程中，不會(huì)對(duì)其造成干擾。這種檢測(cè)技術(shù)主要是在數(shù)碼中直接應(yīng)用，電腦高手在這種技術(shù)下不會(huì)有任何創(chuàng)建格式串的機(jī)會(huì)，它能夠在一定程度上做好預(yù)防安全漏洞的工作。安全漏洞檢測(cè)技術(shù)在計(jì)算機(jī)軟件中的運(yùn)用十分普遍，它使計(jì)算機(jī)的安全性能得到了充分保證，可以對(duì)隨機(jī)出現(xiàn)、難以掌控的漏洞進(jìn)行預(yù)防，對(duì)于電腦高手的破壞、入侵也能起到很好的防范作用，它是現(xiàn)代計(jì)算機(jī)軟件中不可或缺的部分，它對(duì)信息技術(shù)發(fā)展起到至關(guān)重要的作用。

（4）混合檢測(cè)技術(shù)的有效應(yīng)用

混合檢測(cè)技術(shù)具有實(shí)用性好、自動(dòng)化程度高等特點(diǎn)，它是靜態(tài)檢測(cè)技術(shù)與動(dòng)態(tài)檢測(cè)技術(shù)的結(jié)合，然而我們?cè)谠摷夹g(shù)的實(shí)際應(yīng)用依然停留在某一單一功能檢測(cè)上，容易造成漏報(bào)等情況，從而在實(shí)際應(yīng)用中并某一取得預(yù)期的效果，仍然有待改進(jìn)。

5結(jié)束語

隨著網(wǎng)絡(luò)技術(shù)的普及，它在生產(chǎn)生活中的應(yīng)用逐漸廣泛起來，為人們帶來許多便利，人們可以利用該技術(shù)網(wǎng)購、看電影等等。網(wǎng)絡(luò)技術(shù)的先進(jìn)在一定程度上改變了人們的生活方式，然而，正是因?yàn)樵摷夹g(shù)的覆蓋率相對(duì)廣泛，導(dǎo)致在實(shí)際應(yīng)用過程中呈現(xiàn)出越來越多的安全問題，據(jù)此，我們必須采取相應(yīng)防護(hù)措施加以改善，盡管我國目前的安全防護(hù)技術(shù)不夠完善，但相信隨著科技的發(fā)展，我國在網(wǎng)絡(luò)安全防護(hù)技術(shù)上一定會(huì)取得更大的進(jìn)步，確保網(wǎng)絡(luò)良好運(yùn)行。

第四篇：科技型中小企業(yè)技術(shù)創(chuàng)新研究論文

摘要：科技型中小企業(yè)，是我國中小企業(yè)的重要組成部分，在經(jīng)濟(jì)發(fā)展中發(fā)揮著重要作用，是提高企業(yè)整體水平、調(diào)整和優(yōu)化產(chǎn)業(yè)結(jié)構(gòu)、促進(jìn)國家系統(tǒng)創(chuàng)新的關(guān)鍵組成。進(jìn)入21世紀(jì)，科技型中小企業(yè)發(fā)展迅速。與此同時(shí)，科技型中小企業(yè)發(fā)展過程中還存在許多問題，這嚴(yán)重阻礙科技型中小企業(yè)的技術(shù)創(chuàng)新活動(dòng)。因此，研究科技型中小企業(yè)技術(shù)創(chuàng)新模式和掃清技術(shù)創(chuàng)新障礙具有重大的理論和現(xiàn)實(shí)意義。

關(guān)鍵詞：科技型中小企業(yè)；技術(shù)創(chuàng)新；創(chuàng)新模式

一、科技型中小企業(yè)的概念

科技型中小企業(yè)是指以科技人員為主體，由科技人員創(chuàng)辦，主要從事高新技術(shù)產(chǎn)品的研制、生產(chǎn)、銷售，以科技成果轉(zhuǎn)化及技術(shù)開發(fā)、技術(shù)服務(wù)、技術(shù)咨詢和高新產(chǎn)品為主要內(nèi)容，以市場(chǎng)為導(dǎo)向的知識(shí)密集型經(jīng)濟(jì)實(shí)體。簡(jiǎn)而言之，科技型中小企業(yè)是以創(chuàng)新為使命的企業(yè)。

二、科技型中小企業(yè)的特征

科技型中小企業(yè)實(shí)行“自主經(jīng)營、自愿組合、自負(fù)盈虧”的組織原則，具有較強(qiáng)的決策能力和適應(yīng)能力，它們除具有一般企業(yè)的特點(diǎn)外，還有明顯區(qū)別于其他類型企業(yè)的特征：

1.規(guī)模小與大型企業(yè)相比，科技型中小企業(yè)規(guī)模小、經(jīng)營決策權(quán)高度集中，實(shí)行所有權(quán)與經(jīng)營治理權(quán)合一，既可以節(jié)約所有者的監(jiān)督成本，又有利于企業(yè)快速做出決策。

2.專業(yè)化科技型中小企業(yè)由于自身規(guī)模小，人、財(cái)、物等資源相對(duì)有限，往往將有限的人力、財(cái)力和物力專注于某一細(xì)小產(chǎn)品的經(jīng)營上來不斷改進(jìn)產(chǎn)品質(zhì)量，提高生產(chǎn)效率，以求在市場(chǎng)競(jìng)爭(zhēng)中站穩(wěn)腳跟，進(jìn)而獲得更大的發(fā)展。

3.高風(fēng)險(xiǎn)科技型中小企業(yè)研發(fā)生產(chǎn)的大多是高科技產(chǎn)品，其技術(shù)創(chuàng)新活動(dòng)具有單一性，很少進(jìn)行多種途徑的代替研發(fā)，在成長過程中，技術(shù)、市場(chǎng)、財(cái)務(wù)、環(huán)境等方面面臨巨大的不確定性。

三、技術(shù)創(chuàng)新模式與選擇

技術(shù)創(chuàng)新是一種技術(shù)經(jīng)濟(jì)活動(dòng)，是新技術(shù)在生產(chǎn)中的運(yùn)用，是技術(shù)與經(jīng)濟(jì)的有效結(jié)合?；诳萍夹椭行∑髽I(yè)的自身特點(diǎn)和優(yōu)勢(shì)，是最有能力、最有條件成為技術(shù)創(chuàng)新主體的群體。同時(shí)，技術(shù)創(chuàng)新是中小企業(yè)發(fā)展的立身之命，是企業(yè)活力的增長點(diǎn)，因此技術(shù)創(chuàng)新模式是科技型中小企業(yè)經(jīng)營模式的重要組成。技術(shù)創(chuàng)新模式主要有：自主創(chuàng)新、模仿創(chuàng)新和協(xié)同創(chuàng)新，其中自主創(chuàng)新要求企業(yè)必須擁有雄厚的資金和技術(shù)能力，這不利于中小企業(yè)內(nèi)在優(yōu)勢(shì)發(fā)揮，因此不適合中小企業(yè)選用；后兩種模式對(duì)于資金短缺、技術(shù)實(shí)力薄弱的中小企業(yè)來說是比較理想的選擇，尤其是協(xié)同創(chuàng)新比較適用于新興技術(shù)和高新技術(shù)中小企業(yè)的技術(shù)創(chuàng)新。

三種創(chuàng)新模式在研發(fā)能力、創(chuàng)新效益等評(píng)價(jià)指標(biāo)方面各有優(yōu)劣。見表1和外部環(huán)境，可以選擇其中某一種技術(shù)創(chuàng)新模式，也可以采取兩種或者多種創(chuàng)新模式的組合。

四、促進(jìn)科技型中小企業(yè)技術(shù)創(chuàng)新的對(duì)策

技術(shù)創(chuàng)新是企業(yè)發(fā)展的核心，是企業(yè)獲得經(jīng)濟(jì)效益的前提。以下將從科技型中小企業(yè)技術(shù)創(chuàng)新的內(nèi)外部環(huán)境兩方面進(jìn)行探討。

1.政府應(yīng)為技術(shù)創(chuàng)新提供良好的外部環(huán)境

（1）完善科技型中小企業(yè)政策，鼓勵(lì)技術(shù)創(chuàng)新活動(dòng)。健全科技型中小企業(yè)技術(shù)創(chuàng)新活動(dòng)的法律法規(guī)體系，創(chuàng)造公平競(jìng)爭(zhēng)的外部環(huán)境。通過立法，維護(hù)企業(yè)技術(shù)創(chuàng)新的合法權(quán)益，促進(jìn)科技型中小企業(yè)健康發(fā)展。同時(shí)政府應(yīng)該制定和實(shí)施技術(shù)創(chuàng)新計(jì)劃，大力鼓勵(lì)產(chǎn)學(xué)研結(jié)合，使大學(xué)和科研院所成為企業(yè)技術(shù)創(chuàng)新的重要源泉。

（2）完善金融扶持政策，完善融資手段，拓寬融資渠道。國家要健全信用擔(dān)保體系，設(shè)立專門的擔(dān)保機(jī)構(gòu)，降低商業(yè)銀行向科技型中小企業(yè)提供貸款的成本和風(fēng)險(xiǎn)。同時(shí)，完善中小企業(yè)科技成果轉(zhuǎn)化及技術(shù)創(chuàng)新基金等相關(guān)政策。

（3）健全科技型中小企業(yè)孵化體系。國家要大力發(fā)展創(chuàng)新集群，包括高新技術(shù)產(chǎn)業(yè)開發(fā)區(qū)、新興產(chǎn)業(yè)基地等，加強(qiáng)公共技術(shù)服務(wù)平臺(tái)建設(shè)，促進(jìn)科技資源共享。

2.企業(yè)自身營造良好的技術(shù)創(chuàng)新內(nèi)部環(huán)境

（1）建立促進(jìn)創(chuàng)新的激勵(lì)制度。企業(yè)應(yīng)建立科學(xué)合理的技術(shù)創(chuàng)新評(píng)價(jià)系統(tǒng)，采用多種激勵(lì)機(jī)制，針對(duì)不同類型、不同層次的創(chuàng)新建立獎(jiǎng)勵(lì)制度，充分調(diào)動(dòng)知識(shí)型員工積極性，有效地激勵(lì)員工為企業(yè)創(chuàng)造最大的價(jià)值。

（2）建設(shè)良好的企業(yè)文化并切實(shí)遵循。企業(yè)應(yīng)根據(jù)自己所處的發(fā)展階段、生存環(huán)境等，培養(yǎng)全員創(chuàng)新的企業(yè)文化，建立學(xué)習(xí)型組織，營造激發(fā)科技人員創(chuàng)造力的工作環(huán)境，努力打造協(xié)作創(chuàng)新的工作氛圍。

（3）完善企業(yè)技術(shù)創(chuàng)新的知識(shí)管理系統(tǒng)?？萍夹椭行∑髽I(yè)是知識(shí)密集型組織，對(duì)快速響應(yīng)能力、信息利用能力和運(yùn)作效率等與知識(shí)管理相關(guān)的指標(biāo)有較高要求。所以企業(yè)應(yīng)選擇合理的知識(shí)管理系統(tǒng)，提高企業(yè)運(yùn)作效率。同時(shí)要加強(qiáng)知識(shí)管理信息組織建設(shè)，做好企業(yè)內(nèi)部知識(shí)管理支撐，提供功能強(qiáng)大的搜索工具，便于對(duì)現(xiàn)有知識(shí)進(jìn)行深度挖掘，實(shí)現(xiàn)知識(shí)共享?？萍夹椭行∑髽I(yè)是最具活力、最具潛力、最具成長性的創(chuàng)新群體，在創(chuàng)新發(fā)展中具有重要的帶動(dòng)作用。重視科技型中小企業(yè)，就是重視科技和經(jīng)濟(jì)發(fā)展的未來?？萍夹椭行∑髽I(yè)是推動(dòng)科技創(chuàng)新的重要主體。在目前的激烈競(jìng)爭(zhēng)環(huán)境中，科技型中小企業(yè)只有不斷進(jìn)行技術(shù)創(chuàng)新，才能適應(yīng)市場(chǎng)變化，在國內(nèi)外競(jìng)爭(zhēng)中立于不敗之地。

參考文獻(xiàn)：

[1]粟進(jìn),宋正剛.科技型中小企業(yè)技術(shù)創(chuàng)新的關(guān)鍵驅(qū)動(dòng)因素研究[J].科學(xué)學(xué)與科學(xué)技術(shù)管理,2014(05):156-163.[2]彭文玉,孫英雋.科技型中小企業(yè)融資的“哥德巴赫猜想”[J].科技與管理,2013(02)

[3]李萌.基于因子分析法構(gòu)建大中型工業(yè)企業(yè)技術(shù)創(chuàng)新能力評(píng)價(jià)模型[J].寧連舉,科研管理,2011(03)

第五篇：涉密網(wǎng)絡(luò)安全保密防護(hù)和管理

涉密網(wǎng)絡(luò)安全保密防護(hù)和管理

隨著信息化和工業(yè)化步伐的不斷加快，互聯(lián)網(wǎng)已經(jīng)融入社會(huì)生活方方面面，深刻改變了人們的生產(chǎn)和生活方式，無紙化辦公、網(wǎng)絡(luò)化辦公已經(jīng)成為社會(huì)主流。一些政府機(jī)關(guān)、科研院所、軍工企業(yè)等單位日常工作中需要存儲(chǔ)和處理大量涉密信息，對(duì)網(wǎng)絡(luò)和信息系統(tǒng)的依賴性不斷增強(qiáng)，泄密渠道和機(jī)會(huì)大大增加，由于網(wǎng)絡(luò)安全漏洞和人為管理疏忽而導(dǎo)致的安全危機(jī)、經(jīng)濟(jì)損失、重要資料泄密等重大事件層出不窮，因此網(wǎng)絡(luò)保密管理尤其是涉密網(wǎng)絡(luò)安全保密防護(hù)和管理工作成為保密工作的重中之重。

涉密網(wǎng)絡(luò)安全保密隱患

1.違規(guī)外聯(lián)。涉密網(wǎng)絡(luò)嚴(yán)禁和互聯(lián)網(wǎng)連接，但是有些工作人員貪圖便利，采用斷開內(nèi)網(wǎng)連接的方式違規(guī)將計(jì)算機(jī)接入互聯(lián)網(wǎng)，甚至直接將接入涉密網(wǎng)的計(jì)算機(jī)同時(shí)又通過撥號(hào)、寬帶和無線等方式接入互聯(lián)網(wǎng)，破壞了內(nèi)外網(wǎng)的物理隔離，極有可能將病毒、木馬、后門等帶入內(nèi)網(wǎng)，導(dǎo)致黑客入侵并把涉密計(jì)算機(jī)作為跳板，滲透到內(nèi)部網(wǎng)絡(luò)，給涉密網(wǎng)絡(luò)帶來非常嚴(yán)重的危害和后果。

2.計(jì)算機(jī)端口濫用。涉密網(wǎng)絡(luò)內(nèi)部使用的涉密計(jì)算機(jī)的光驅(qū)、USB接口、紅外接口等很容易被違規(guī)接入未經(jīng)授權(quán)批準(zhǔn)的外接設(shè)備，然后利用“信息擺渡”技術(shù)實(shí)現(xiàn)在物理隔離的兩臺(tái)計(jì)算機(jī)上的信息傳遞，在此過程中很容易造成信息泄漏或致使涉密計(jì)算機(jī)感染病毒。

3.權(quán)限失控。在涉密網(wǎng)絡(luò)中如果沒有使用用戶身份鑒別和權(quán)限控制措施，工作人員可以毫無障礙的調(diào)閱出高出自身知悉范圍內(nèi)的涉密信息，從而導(dǎo)致泄密。“棱鏡”事件就是一件典型的權(quán)限失控導(dǎo)致的泄密事件。

4.系統(tǒng)漏洞。系統(tǒng)漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計(jì)上的缺陷或錯(cuò)誤，這些漏洞成為入侵者進(jìn)入計(jì)算機(jī)或網(wǎng)絡(luò)的一個(gè)“后門”，可通過植入木馬、病毒等方式來攻擊或控制整個(gè)計(jì)算機(jī)和網(wǎng)絡(luò)，竊取其中的涉密信息。由于涉密網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理隔離，工作人員不便于進(jìn)行系統(tǒng)補(bǔ)丁升級(jí)，導(dǎo)致這些漏洞無法得到及時(shí)修補(bǔ)，極易被黑客所利用。

5.人為因素。一些單位的工作人員保密意識(shí)不強(qiáng)，在工作中沒有遵循基本的安全防范規(guī)則操作造成泄密，例如涉密計(jì)算機(jī)不按規(guī)定設(shè)置口令或者口令設(shè)置過于簡(jiǎn)單容易被破解、沒有定期升級(jí)系統(tǒng)軟件或病毒庫等。此外還有一些由于保密技術(shù)知識(shí)缺乏或操作失誤導(dǎo)致的泄密，例如管理員對(duì)防火墻配置不當(dāng)為外來的程序攻擊創(chuàng)造了機(jī)會(huì)，計(jì)算機(jī)中的硬盤或某些文件夾被設(shè)置成共享狀態(tài)，使非法人員通過操作系統(tǒng)提供的功能非常容易地下載到這些計(jì)算機(jī)硬盤中的文件等。

涉密網(wǎng)絡(luò)安全保密防護(hù)技術(shù)

1.虛擬局域網(wǎng)技術(shù)。虛擬局域網(wǎng)技術(shù)可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)行分組，不同的虛擬局域網(wǎng)之間不能進(jìn)行相互的聯(lián)系和通訊，這就避免了病毒感染和黑客入侵。此外虛擬局域網(wǎng)技術(shù)中對(duì)于交換機(jī)端口的劃分操作簡(jiǎn)單靈活，這就使得在涉密網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備的靈活移動(dòng)成為可能，單位不同部門可以規(guī)劃到不同的虛擬局域網(wǎng)中來，既方便了數(shù)據(jù)的傳輸、信息的共享，又提高了涉密網(wǎng)絡(luò)的安全性。

2.防火墻系統(tǒng)。防火墻系統(tǒng)是計(jì)算機(jī)與內(nèi)部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間安全的屏障，配置防火墻是實(shí)現(xiàn)涉密網(wǎng)絡(luò)安全最基本、最有效的安全措施之一。利用防火墻對(duì)涉密網(wǎng)絡(luò)進(jìn)行安全域劃分，禁止不同虛擬局域網(wǎng)在非應(yīng)用系統(tǒng)使用時(shí)相互訪問，同時(shí)在交換機(jī)配置階段，就進(jìn)行端口隔離，這樣同部門同虛擬局域網(wǎng)之間也存在了基礎(chǔ)的安全網(wǎng)絡(luò)防護(hù)，可實(shí)現(xiàn)重點(diǎn)服務(wù)器網(wǎng)段和非密服務(wù)區(qū)網(wǎng)段隔離，從而降低重要數(shù)據(jù)或敏感信息安全問題對(duì)整個(gè)涉密網(wǎng)絡(luò)造成的影響。此外，防火墻系統(tǒng)還能實(shí)時(shí)地記錄所有用戶訪問信息的日志情況，并對(duì)涉密網(wǎng)絡(luò)的流量情況進(jìn)行統(tǒng)計(jì)。一旦發(fā)生網(wǎng)絡(luò)異?，F(xiàn)象，防火墻系統(tǒng)還能及時(shí)報(bào)警，確保涉密網(wǎng)絡(luò)的安全穩(wěn)定。

3.入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它可以在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供內(nèi)部攻擊、外部攻擊和誤操作時(shí)的實(shí)時(shí)保護(hù)。在涉密網(wǎng)絡(luò)中，可以在需要保護(hù)的服務(wù)器網(wǎng)段上部署入侵檢測(cè)系統(tǒng)，實(shí)時(shí)監(jiān)視各種對(duì)服務(wù)器的訪問請(qǐng)求并及時(shí)將信息反饋給控制臺(tái)。

4.訪問控制技術(shù)。訪問控制是限制已授權(quán)的用戶、程序、進(jìn)程或計(jì)算機(jī)網(wǎng)絡(luò)中的其他的系統(tǒng)訪問本系統(tǒng)的資源的過程，它是涉密網(wǎng)絡(luò)安全防護(hù)的主要核心策略。通常在涉密網(wǎng)絡(luò)中實(shí)施訪問控制的策略是在交換機(jī)的某個(gè)端口上綁定合法的計(jì)算機(jī)MAC地址，所有未在該端口上綁定的MAC地址全部為非法入口，會(huì)在進(jìn)入該端口時(shí)予以屏蔽，這樣就杜絕了非法MAC地址的入侵，可以防止非授權(quán)的計(jì)算機(jī)從數(shù)據(jù)鏈路層進(jìn)入涉密網(wǎng)絡(luò)。

5.漏洞掃描技術(shù)。漏洞掃描技術(shù)是指通過掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)技術(shù)。它和防火墻、入侵檢測(cè)系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過漏洞掃描，網(wǎng)絡(luò)管理員能了解網(wǎng)絡(luò)的安全設(shè)置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)與服務(wù)器等網(wǎng)絡(luò)設(shè)備的各種漏洞和隱患，如端口和服務(wù)、系統(tǒng)漏洞、弱口令及共享文件等，并給出修正建議。此外，當(dāng)有計(jì)算機(jī)接入涉密網(wǎng)絡(luò)中時(shí)，還可以通過掃描計(jì)算機(jī)的系統(tǒng)漏洞，自動(dòng)對(duì)入網(wǎng)計(jì)算機(jī)進(jìn)行系統(tǒng)補(bǔ)丁升級(jí)，確保所有接入涉密網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)漏洞都能及時(shí)得到修復(fù)，降低計(jì)算機(jī)被入侵攻擊的風(fēng)險(xiǎn)。

6.身份鑒別和授權(quán)。身份鑒別是保證涉密網(wǎng)絡(luò)安全的重要措施。經(jīng)過身份鑒別進(jìn)入涉密網(wǎng)絡(luò)的合法用戶，需要對(duì)其訪問系統(tǒng)資源的權(quán)限進(jìn)行限制。設(shè)置訪問控制應(yīng)當(dāng)遵循“最小授權(quán)原則”，即在應(yīng)當(dāng)授權(quán)的范圍內(nèi)有權(quán)使用資源，非授權(quán)范圍內(nèi)無權(quán)使用資源。并且在授權(quán)時(shí)按照該人員的最高涉密等級(jí)進(jìn)行身份認(rèn)證授權(quán)。在涉密網(wǎng)絡(luò)中，工作人員的各種操作行為均需進(jìn)行個(gè)人身份鑒別。

7.涉密計(jì)算機(jī)監(jiān)控和審計(jì)。涉密計(jì)算機(jī)監(jiān)控是指通過安全策略對(duì)受控計(jì)算機(jī)的移動(dòng)存儲(chǔ)設(shè)備、外部連接設(shè)備、網(wǎng)絡(luò)連接等輸入輸出端口進(jìn)行監(jiān)控，防止非法文件拷貝、打印、掃描、非法外聯(lián)等安全事件的發(fā)生，對(duì)于正在發(fā)生的高危行為予以及時(shí)制止或預(yù)警。涉密計(jì)算機(jī)審計(jì)是指記錄涉密計(jì)算機(jī)用戶的實(shí)際操作，包括計(jì)算機(jī)訪問應(yīng)用系統(tǒng)情況、文件的拷貝打印操作、病毒感染情況、擅自連接互聯(lián)網(wǎng)情況、非工作軟件的安裝和運(yùn)行等內(nèi)容，通過分析日志，能夠在事后有效發(fā)現(xiàn)用戶的違規(guī)操作或非法入侵行為，以便管理人員及時(shí)發(fā)現(xiàn)問題以及事后追究責(zé)任。

8.數(shù)字加密和數(shù)字簽名。數(shù)據(jù)加密和數(shù)字簽名技術(shù)是提高涉密網(wǎng)絡(luò)安全性的必要手段。數(shù)據(jù)加密技術(shù)可以用于涉密文件的加密上，通過公鑰、密鑰的分發(fā)確保文件即使被盜取也無法解密。數(shù)字簽名是利用密碼技術(shù)生產(chǎn)一系列符號(hào)和代碼組成電子密碼進(jìn)行簽名，來代替書寫簽名和印章。將數(shù)字簽名添加到文件正文中后，能夠保證文件的機(jī)密性、發(fā)送者身份真實(shí)性、文件數(shù)據(jù)的完整性和發(fā)送者對(duì)自己行為的不可否認(rèn)性，構(gòu)造一種更加完善、高強(qiáng)度的文件加密方案。

9.電磁泄漏防護(hù)。涉密網(wǎng)絡(luò)電磁輻射主要有四個(gè)因素產(chǎn)生：顯示器輻射、通信線路輻射、主機(jī)輻射、輸出設(shè)備（打印機(jī)）輻射。這些設(shè)備是依靠高頻脈沖電路工作的，由于電磁場(chǎng)的變化，必然要向外輻射電磁波。這些電磁波會(huì)把計(jì)算機(jī)中的信息帶出去，竊密者只要具有相應(yīng)的接收設(shè)備，就可以通過接收電磁波從中竊取涉密信息。針對(duì)電磁泄漏可采用的防護(hù)措施有選用低輻射設(shè)備、利用噪聲干擾源、距離防護(hù)、電磁屏蔽等。

10.容災(zāi)備份技術(shù)。涉密網(wǎng)絡(luò)中的數(shù)據(jù)安全是重中之重，但由于敵對(duì)勢(shì)力、自然災(zāi)害或其他網(wǎng)絡(luò)、硬軟件故障、操作失誤、病毒等因素的影響，隨時(shí)可能導(dǎo)致數(shù)據(jù)丟失、破壞、業(yè)務(wù)中斷等災(zāi)難事故的發(fā)生。容災(zāi)技術(shù)可以保證在遭遇災(zāi)害時(shí)信息系統(tǒng)能正常運(yùn)行，實(shí)現(xiàn)業(yè)務(wù)連續(xù)性的目標(biāo)，備份技術(shù)可以應(yīng)對(duì)災(zāi)難來臨時(shí)造成的數(shù)據(jù)丟失問題。在具體操作中，容災(zāi)備份技術(shù)通常是將系統(tǒng)變化發(fā)生時(shí)的每個(gè)時(shí)間點(diǎn)都捕獲下來，一旦系統(tǒng)發(fā)生寫數(shù)據(jù)的動(dòng)作，就實(shí)時(shí)復(fù)制將要寫入存儲(chǔ)的寫操作，在寫入本地磁盤的同時(shí)復(fù)制一份到本地或遠(yuǎn)程數(shù)據(jù)保護(hù)中心，這樣一旦災(zāi)難發(fā)生，就可以從數(shù)據(jù)保護(hù)中心中獲取丟失的數(shù)據(jù)。

涉密網(wǎng)絡(luò)保密管理措施

1.完善涉密網(wǎng)絡(luò)安全保密規(guī)章制度建設(shè)。規(guī)章制度是涉密網(wǎng)絡(luò)安全管理的基礎(chǔ)，只有建立了完善的安全管理制度，明確安全保密職責(zé)，才能確保涉密網(wǎng)絡(luò)和涉密信息系統(tǒng)正常、有效運(yùn)行。涉密單位應(yīng)根據(jù)國家出臺(tái)的相關(guān)規(guī)定，充分發(fā)揮創(chuàng)新精神，結(jié)合本單位的實(shí)際情況，按照“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”的原則，建立有針對(duì)性的涉密網(wǎng)絡(luò)安全管理制度，將原則性的標(biāo)準(zhǔn)進(jìn)行細(xì)化，明確安全職責(zé)的劃分和人員分工安排，讓涉密網(wǎng)絡(luò)的建設(shè)、管理、使用、維護(hù)等各個(gè)環(huán)節(jié)都有相應(yīng)的制度作為保障。同時(shí)要對(duì)規(guī)章制度進(jìn)行動(dòng)態(tài)化的管理，及時(shí)發(fā)現(xiàn)規(guī)章制度中不適和問題，對(duì)規(guī)章制度的適應(yīng)性進(jìn)行改進(jìn)。

2.提高工作人員保密意識(shí)和防護(hù)技能。工作人員的保密意識(shí)薄弱、保密防護(hù)技能缺乏是泄密事件發(fā)生的主因，由于網(wǎng)絡(luò)信息安全技術(shù)知識(shí)更新?lián)Q代頻繁，一些工作人員平時(shí)不注重學(xué)習(xí)，認(rèn)識(shí)不到安全威脅，保密意識(shí)淡漠，不注意個(gè)人的安全防護(hù)，認(rèn)為涉密網(wǎng)絡(luò)安全防護(hù)是信息中心的事兒，與他們毫無關(guān)系。還有部分人員存在僥幸心理，為圖方便甚至不遵守相關(guān)安全規(guī)定，違規(guī)接入互聯(lián)網(wǎng)或外部設(shè)備，給涉密網(wǎng)絡(luò)防護(hù)帶來較大隱患。因此需要加強(qiáng)工作人員的保密意識(shí)和網(wǎng)絡(luò)安全意識(shí)，切實(shí)使更多的工作人員充分認(rèn)清當(dāng)前網(wǎng)絡(luò)條件下的保密形勢(shì)，認(rèn)清網(wǎng)絡(luò)與信息技術(shù)快速發(fā)展給保密工作帶來的巨大負(fù)面影響，在思想上保持警惕，筑牢思想防線。同時(shí)要通過舉辦講座、學(xué)習(xí)班等形式普及涉密網(wǎng)絡(luò)安全防護(hù)知識(shí)，使其熟悉危害涉密網(wǎng)絡(luò)安全的行為以及其基本原理，讓安全操作成為一種工作習(xí)慣和自覺行為。

3.強(qiáng)化保密監(jiān)督和檢查。保密監(jiān)督和檢查是防止失泄密事件發(fā)生的有效手段。利用網(wǎng)絡(luò)安全技術(shù)做好日常保密監(jiān)督和檢查是充分發(fā)揮涉密網(wǎng)絡(luò)防護(hù)體系作用的一個(gè)重要的環(huán)節(jié)，具體措施有：對(duì)非授權(quán)存取、非授權(quán)外聯(lián)、非授權(quán)接入采取必要的技術(shù)檢測(cè)手段，作出及時(shí)響應(yīng)，并形成日志記錄；對(duì)涉密網(wǎng)絡(luò)中的設(shè)備運(yùn)行態(tài)進(jìn)行監(jiān)測(cè)，例如可以每周查看安全審計(jì)記錄；每月對(duì)監(jiān)控和審計(jì)系統(tǒng)的日志進(jìn)行分析整理。通過日?；谋Ｃ鼙O(jiān)督和檢查，能夠及時(shí)發(fā)現(xiàn)存在的安全隱患與管理缺陷，及時(shí)消除安全隱患與改進(jìn)管理，提升涉密網(wǎng)絡(luò)安全防護(hù)的技術(shù)水平和保密管理水平。

涉密網(wǎng)絡(luò)的安全保密防護(hù)和管理是一個(gè)涉及網(wǎng)絡(luò)信息安全技術(shù)和保密管理的龐大課題，而且隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，會(huì)出現(xiàn)越來越多新的安全保密防護(hù)問題，因此我們必須綜合運(yùn)用各種新技術(shù)新知識(shí)，不斷完善和調(diào)整防護(hù)策略，才能構(gòu)建一道網(wǎng)絡(luò)信息安全的銅墻鐵壁。

（作者單位：寧波國研軟件技術(shù)有限公司）