計算機網(wǎng)絡(luò)安全的分析及解決措施

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)計算機網(wǎng)絡(luò)安全的分析及解決措施[摘要]隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)及網(wǎng)絡(luò)信息安全技術(shù)已經(jīng)影響到社會的政治、經(jīng)濟、文化和軍事等各個領(lǐng)域。網(wǎng)絡(luò)技術(shù)的成熟使得網(wǎng)絡(luò)連接更加容易，人們在享受網(wǎng)絡(luò)帶來便利的同時，網(wǎng)絡(luò)的安全也日益受到威脅，同時網(wǎng)絡(luò)安全問題和網(wǎng)絡(luò)犯罪的不斷出現(xiàn)使網(wǎng)絡(luò)使用者對關(guān)于網(wǎng)絡(luò)安全的探討也越來越重視。本文通過對我國計算機網(wǎng)絡(luò)現(xiàn)狀的闡述和網(wǎng)絡(luò)不安全因素的分析展開了探討,并提出幾點關(guān)于網(wǎng)絡(luò)安全方面的可行性建議和實現(xiàn)網(wǎng)絡(luò)安全的幾條措施。關(guān)鍵字：網(wǎng)絡(luò)技術(shù)網(wǎng)絡(luò)安全網(wǎng)路管理防火墻安全隱患安全措施

目錄

緒論在美國加利福尼亞SanJose召開的因特網(wǎng)安全會議上，安全專家們聚在一起討論了現(xiàn)在的網(wǎng)絡(luò)安全形勢。NetworkFlightRecorder的執(zhí)行總裁，前Usenet（世界性的新聞組網(wǎng)絡(luò)系統(tǒng)）中新聞組的負責(zé)人MarcusRanum，是主要發(fā)言人之一，他提出了一個很有爭議的觀點。他講了有關(guān)因特網(wǎng)安全方面的文化問題。他說，電腦黑客不是那些聰明伶俐孩子們，而是一些沒有思想意識的業(yè)余恐怖分子。在過去，特別是新聞界都稱贊十幾歲的電腦黑客為電腦天才，而其中的言下之意是也就是說在因特網(wǎng)上工作的所有的軟件工程師們都是傻瓜了。但實際這些被稱為電腦天才的黑客們經(jīng)常從一些黑客網(wǎng)站上下載了他的工具，并且闖入一些網(wǎng)站也只是他的運氣好?？梢运玫搅怂械臉s耀，而軟件工程師們卻被解雇了。當(dāng)然，還是有許多“友好的”的黑客，他們只是想通過找到一些網(wǎng)站的錯誤來幫助因特網(wǎng)成為一個更安全的地方。但是他們走的太超前了，公布了如何攻入一個網(wǎng)站的每一個細節(jié)與操作說明，更加危及了公司網(wǎng)站正常的運行。Ranum說，這些人要么只是想顯示自己，向別人炫耀自己的“聰明才智”，要么他們只是想以此為籌碼以賣掉自己的安全工具。

第1章對網(wǎng)絡(luò)安全的認識國際標(biāo)準(zhǔn)化組織（ISO）將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護。國際標(biāo)準(zhǔn)化組織（ISO）將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護。網(wǎng)絡(luò)安全從其本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全，指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及數(shù)據(jù)受到保護。不遭受偶然的或者惡意的破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。從用戶的角度，他們希望涉及到個人隱私和商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時受到機密性、完整性和真實性的保護，避免其他人或?qū)κ掷酶`聽、冒充、篡改、抵賴等手段對自己的利益和隱私造成損害和侵犯。同時他們希望自己的信息保存在某個計算機系統(tǒng)上時，不受其他非法用戶的非授權(quán)訪問和破壞。從網(wǎng)絡(luò)運營商和管理者的角度來說，他們希望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護和控制，避免出現(xiàn)病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源的非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)“黑客”的攻擊。網(wǎng)絡(luò)安全根據(jù)其本質(zhì)的界定，應(yīng)具有以下基本特征：機密性是指信息不泄露給非授權(quán)的個人、實體和過程，或供其使用的特性。在網(wǎng)絡(luò)系統(tǒng)的各個層次上都有不同的機密性及相應(yīng)的防范措施。在物理層，要保證系統(tǒng)實體不以電磁的方式向外泄露信息，主要的防范措施是電磁屏蔽技術(shù)、加密干擾技術(shù)等，在運行層面，要保障系統(tǒng)依據(jù)授權(quán)提供服務(wù)，使系統(tǒng)任何時候都不被非授權(quán)人使用，對黑客入侵、口令攻擊、用戶權(quán)限非法提升、資源非法使用等采取漏洞掃描、隔離、防火墻、訪問控制、入侵檢測、審計取證等防范措施。在數(shù)據(jù)處理、傳輸層面，要保證數(shù)據(jù)在傳輸、存儲過程中不被非法獲取、解析，主要防范措施是數(shù)據(jù)加密技術(shù)。完整性是指信息未經(jīng)授權(quán)不能被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性。對網(wǎng)絡(luò)信息安全進行攻擊其最終目的就是破壞信息的完整性。在運行曾面，要保證數(shù)據(jù)在傳輸、存儲等過程中不被非法修改。要保證數(shù)據(jù)的發(fā)送源頭不被偽造，對冒充信息發(fā)布者的身份、虛假信息發(fā)布來源采取身份認證技術(shù)、路由認證技術(shù)，這類屬性也稱為真實性?？捎眯允侵负戏ㄓ脩粼L問并能按要求順序使用信息的特性，即保證合法用戶在需要時可以訪問到信息及相關(guān)資料。在物理層，要保證信息系統(tǒng)在惡劣的工作環(huán)境下能正常進行，主要防范措施是對電磁炸彈、信號插入采取抗干擾技術(shù)、加固技術(shù)等。在運行層面，要保證系統(tǒng)時刻能為授權(quán)人提供服務(wù)，對網(wǎng)絡(luò)被阻塞、系統(tǒng)資源負荷消耗、病毒、黑客等導(dǎo)致系統(tǒng)崩潰或死機等情況采取過載保護、防范拒絕服務(wù)攻擊、生存技術(shù)等防范措施。保證系統(tǒng)的可用性，使得發(fā)布者無法否認所發(fā)布的信息內(nèi)容。接受者無法否認所接收的信息內(nèi)容，對數(shù)據(jù)抵賴采取數(shù)字簽名。計算機誕生之初功能較為單一，數(shù)據(jù)處理相對簡單，而隨著計算機網(wǎng)絡(luò)技術(shù)的，計算機功能的多樣化與信息處理的復(fù)雜程度顯著提高。網(wǎng)絡(luò)的出現(xiàn)，將過去時間與空間相對獨立和分散的信息集成起來，構(gòu)成龐大的數(shù)據(jù)信息資源系統(tǒng)，為人們提供更加便捷化的信息處理與使用方式，極大的推動了信息化時代的發(fā)展進程。然而，隨之而來的是這些信息數(shù)據(jù)的安全問題，公開化的網(wǎng)絡(luò)平臺為非法入侵者提供了可乘之機，不但會對重要的信息資源造成損壞，同時也會給整個網(wǎng)絡(luò)帶來相當(dāng)大的安全隱患。因此，計算機網(wǎng)絡(luò)安全問題成為當(dāng)今最為熱門的焦點之一，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，安全防范措施也在不斷更新。

第2章網(wǎng)絡(luò)安全現(xiàn)狀分析隨著計算機和通信技術(shù)的發(fā)展，網(wǎng)絡(luò)信息的安全和保密已成為一個至關(guān)重要且急需解決的問題。計算機網(wǎng)絡(luò)所具有的開放性、互連性和共享性等特征使網(wǎng)上信息安全存在著先天不足，再加上系統(tǒng)軟件中的安全漏洞以及所欠缺的嚴(yán)格管理，致使網(wǎng)絡(luò)易受黑客、惡意軟件的攻擊，因此針對網(wǎng)絡(luò)的安全所采取的措施應(yīng)能全方位地針對各種不同的威脅，保障網(wǎng)絡(luò)信息的保密性、完整性和可用性。現(xiàn)有網(wǎng)絡(luò)系統(tǒng)和協(xié)議還是不健全、不完善、不安全的；有的思想麻痹，沒有清醒的意識到黑客入侵會導(dǎo)致嚴(yán)重的后果，有的沒投入必要的人力、財力和物力來加強網(wǎng)絡(luò)的安全性；沒有采用正確的安全策略和安全機制；缺乏先進的網(wǎng)絡(luò)安全技術(shù)、工具、手段和產(chǎn)品；有的尚缺乏先進的災(zāi)難恢復(fù)措施和悲憤意識等。目前歐州各國的小型企業(yè)每年因計算機病毒導(dǎo)致的經(jīng)濟損失高達220億歐元，而這些病毒主要是通過電子郵件進行傳播的。據(jù)反病毒廠商趨勢公司稱，像Sobig、Slammer等網(wǎng)絡(luò)病毒和蠕蟲造成的網(wǎng)絡(luò)大塞車，去年就給企業(yè)造成了550億美元的損失。而包括從身份竊賊到間諜在內(nèi)的其他網(wǎng)絡(luò)危險造成的損失則很難量化，網(wǎng)絡(luò)安全問題帶來的損失由此可見一斑。網(wǎng)絡(luò)安全是研究與計算機科學(xué)相關(guān)的安全問題，具體地說，網(wǎng)絡(luò)安全研究了安全的存儲、處理或傳輸信息資源的技術(shù)、體制和服務(wù)的發(fā)展、實現(xiàn)和應(yīng)用。每個計算機離不開人，網(wǎng)絡(luò)安全不僅依賴于技術(shù)上的措施，也離不開組織和法律上的措施?？蛻?服務(wù)器計算模式下的網(wǎng)絡(luò)安全研究領(lǐng)域，一是OSI安全結(jié)構(gòu)定義的安全服務(wù)：鑒別服務(wù)、數(shù)據(jù)機密性服務(wù)、數(shù)據(jù)完整性服務(wù)、訪問控制服務(wù)、不可抵賴服務(wù)。二是OSI安全結(jié)構(gòu)定義的安全機制：加密、數(shù)字簽名機制、訪問控制機制、數(shù)據(jù)完整性機制、鑒別交換機制、通信填充機制、路由控制機制、公證機制、可信功能、安全標(biāo)簽、事件檢測、安全審查跟蹤、安全恢復(fù)。三是訪問控制服務(wù)：從邏輯上劃分網(wǎng)絡(luò)，并實際控制對這些網(wǎng)絡(luò)的訪問。訪問控制服務(wù)中的關(guān)鍵安全技術(shù)有靜態(tài)分組過濾、動態(tài)分組過濾、鏈路層網(wǎng)關(guān)、應(yīng)用層網(wǎng)關(guān)。四是通信安全服務(wù)：用語保護這些網(wǎng)絡(luò)間的通信。OSI結(jié)構(gòu)通信安全服務(wù)包括鑒別、數(shù)據(jù)機密性和完整性，以及不可抵賴服務(wù)。五是網(wǎng)絡(luò)存活性：目前對Internet存活性的研究目的是開發(fā)一種能保護網(wǎng)絡(luò)和分布式系統(tǒng)免遭拒絕服務(wù)攻擊的技術(shù)和機制。目前計算機網(wǎng)絡(luò)的現(xiàn)狀是面臨著多方面的攻擊與威脅。第一種威脅的表現(xiàn)形式為偽裝，指的就是威脅源在特定時刻裝扮成另一個實體的形式,并借助這個實體的權(quán)利進行操控；第二種威脅的表現(xiàn)形式為非法連接，指的是威脅源利用非法的手段建立一個合法的身份,再通過將網(wǎng)絡(luò)實體與網(wǎng)絡(luò)源兩者之間建立非法的連接一達到最終的目的；第三種威脅的表現(xiàn)形式為非法授權(quán)訪問，指的就是威脅源采用一定的手段破壞訪問并控制服務(wù),最終實現(xiàn)了越權(quán)訪問；第四種威脅的表現(xiàn)形式為拒絕服務(wù)，指的是通過一定手段的利用阻止合法的網(wǎng)絡(luò)用戶或者擁有其他合法權(quán)限的用戶使用某項服務(wù)；第五種威脅的表現(xiàn)形式為信息泄露，指的是沒有經(jīng)過授權(quán)的實體通過某種特定手段獲取到信息后造成的某些信息的泄露；最后一種威脅的表現(xiàn)形式為無效的信息流，即為對正確的信息序列進行非法修改、刪除的操作,使之成為無效信息的非法手段。上述種種威脅的形成原因大多數(shù)是人為造成的,威脅源可以來自于用戶，也可以來自于部分程序，也可以來自于某些潛在的威脅等。所以加強對于計算機網(wǎng)絡(luò)安全的管理和研究的目的就是最大限度地消除這些威脅。2.1計算機網(wǎng)絡(luò)受攻擊的主要形式由于計算機網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)為病毒、黑客和其他不軌的攻擊提供機會，所以研究計算機網(wǎng)絡(luò)的安全以及防范措施是必要的，這樣才能確保網(wǎng)絡(luò)信息的保密性、安全性、完整性和可用性。計算機網(wǎng)絡(luò)應(yīng)用中常見的安全問題主要有以下六種形式：威脅系統(tǒng)漏洞由于任何一個操作系統(tǒng)和網(wǎng)絡(luò)軟件在設(shè)計上存在缺陷和錯誤，這就成為一種不安全的隱患，讓不法者利用，一些惡意代碼會通過漏洞很容易進入計算機系統(tǒng)對主機進行攻擊或控制電腦。所以在使用電腦時，要及時安裝網(wǎng)絡(luò)安全掃描工具，及時下載系統(tǒng)補丁來修復(fù)系統(tǒng)漏洞。(2)欺騙技術(shù)攻擊通過欺騙路由條目、IP地址、DNS解析地址，使服務(wù)器無法正常響應(yīng)這些請求或無法辨別這些請求來攻擊服務(wù)器，從而造成緩沖區(qū)資源阻塞或死機；或者通過將局域網(wǎng)中的某臺計算機設(shè)置為網(wǎng)關(guān)IP地址，導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包轉(zhuǎn)發(fā)異常而使某一網(wǎng)段無法訪問。例如局域網(wǎng)中ARP攻擊包問題。(3)“黑客”的侵犯“黑客”就是一種在網(wǎng)絡(luò)中具有破壞性、隱蔽性和非授權(quán)性的特性，通過網(wǎng)絡(luò)利用系統(tǒng)漏洞等方式非法植入對方計算機系統(tǒng)，一旦進入計算機中，用戶的主機就被黑客完全利用，成為黑客的超級用戶，黑客程序可以被用來竊取密碼、口令、帳號、阻塞用戶、電子郵件騷擾、篡改網(wǎng)頁、破壞程序等行為，對用戶主機安全構(gòu)成嚴(yán)重威脅。因此，從某種意義上講，黑客對網(wǎng)絡(luò)安全的危害甚至超過網(wǎng)絡(luò)病毒攻擊。(4)計算機病毒攻擊計算機病毒是危害網(wǎng)絡(luò)安全的最主要因素。計算機病毒具有隱蔽性、傳染性、潛伏性、破壞性、可觸發(fā)性。病毒程序輕者降低系統(tǒng)工作效率，重者導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失，造成無可挽回的損失，所以我們要正確認識并對待網(wǎng)絡(luò)病毒的攻擊，減少對個人計算機及網(wǎng)絡(luò)系統(tǒng)的破壞，以保護計算機網(wǎng)絡(luò)安全，使得計算機網(wǎng)絡(luò)真正發(fā)揮其積極的作用。(5)網(wǎng)絡(luò)物理設(shè)備故障問題網(wǎng)絡(luò)中的設(shè)備包括計算機、網(wǎng)絡(luò)通信設(shè)備、存儲設(shè)備、傳輸設(shè)備、防雷系統(tǒng)、抗電磁干擾系統(tǒng)、網(wǎng)絡(luò)環(huán)境都是網(wǎng)絡(luò)安全的重要保障，每個環(huán)節(jié)設(shè)備出現(xiàn)問題，都會造成網(wǎng)絡(luò)故障。所以定期和不定期檢測設(shè)備、使用先進的網(wǎng)絡(luò)設(shè)備和產(chǎn)品是網(wǎng)絡(luò)安全不可忽視的問題。(7)網(wǎng)絡(luò)管理缺陷問題。如果管理不嚴(yán)格，網(wǎng)絡(luò)安全意識不強，都會對網(wǎng)絡(luò)安全造成威脅，如用戶名和口令設(shè)置不妥，重要機密數(shù)據(jù)不加密，數(shù)據(jù)備份不及時，用戶級別權(quán)限劃分不明確或根本無級別限制，就容易導(dǎo)致病毒、黑客和非法受限用戶入侵網(wǎng)絡(luò)系統(tǒng)，讓數(shù)據(jù)泄露、修改、刪除，甚至使系統(tǒng)崩潰。2.2影響計算機網(wǎng)絡(luò)安全的主要因素(1)網(wǎng)絡(luò)系統(tǒng)本身的問題目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX,MSNT和Windows。黑客往往就是利用這些操作系統(tǒng)本身所存在的安全漏洞侵入系統(tǒng)。具體包括以下幾個方面：穩(wěn)定性和可擴充性方面，由于設(shè)計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響；網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)，一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞，其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)應(yīng)用的需求沒有引起足夠的重視，設(shè)計和選型考慮欠周密，從而使網(wǎng)絡(luò)功能發(fā)揮受阻，影響網(wǎng)絡(luò)的可靠性、擴充性和升級換代。二是網(wǎng)卡用工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定；缺乏安全策略。許多站點在防火墻配置上無意識地擴大了訪問權(quán)限，忽視了這些權(quán)限可能會被其他人員濫用；訪問控制配置的復(fù)雜性，容易導(dǎo)致配置錯誤，從而給他人以可乘之機。(2)來自內(nèi)部網(wǎng)用戶的安全威脅來自內(nèi)部用戶的安全威脅遠大于外部網(wǎng)用戶的安全威脅，使用者缺乏安全意識，許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮較少，并且，如果系統(tǒng)設(shè)置錯誤，很容易造成損失，管理制度不健全，網(wǎng)絡(luò)管理、維護任在一個安全設(shè)計充分的網(wǎng)絡(luò)中，人為因素造成的安全漏洞無疑是整個網(wǎng)絡(luò)安全性的最大隱患。網(wǎng)絡(luò)管理員或網(wǎng)絡(luò)用戶都擁有相應(yīng)的權(quán)限,利用這些權(quán)限破壞網(wǎng)絡(luò)安全的隱患也是存在的。如操作口令的泄漏,磁盤上的機密文件被人利用，臨時文件未及時刪除而被竊取，內(nèi)部人員有意無意的泄漏給黑客帶來可乘之機等，都可能使網(wǎng)絡(luò)安全機制形同虛設(shè)。特別是一些安裝了防火墻的網(wǎng)絡(luò)系統(tǒng)，對內(nèi)部網(wǎng)用戶來說一點作用也不起。（3)缺乏有效的手段監(jiān)視、硬件設(shè)備的正確使用及評估網(wǎng)絡(luò)系統(tǒng)的安全性完整準(zhǔn)確的安全評估是黑客入侵防范體系的基礎(chǔ)。它對現(xiàn)有或?qū)⒁獦?gòu)建的整個網(wǎng)絡(luò)的安全防護性能作出科學(xué)、準(zhǔn)確的分析評估，并保障將要實施的安全策略技術(shù)上的可實現(xiàn)性、經(jīng)濟上的可行性和組織上的可執(zhí)行性。網(wǎng)絡(luò)安全評估分析就是對網(wǎng)絡(luò)進行檢查，查找其中是否有可被黑客利用的漏洞，對系統(tǒng)安全狀況進行評估、分析，并對發(fā)現(xiàn)的問題提出建議從而提高網(wǎng)絡(luò)系統(tǒng)安全性能的過程，評估分析技術(shù)是一種非常行之有效的安全技術(shù)。(4)黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。然而安全工具的更新速度太慢，絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對新出現(xiàn)的安全問題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時，其他的安全問題又出現(xiàn)了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。2.3計算機網(wǎng)絡(luò)安全的主要漏洞計算機網(wǎng)絡(luò)安全是指“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護。計算機網(wǎng)絡(luò)所面臨的威脅是多方面的，既包括對網(wǎng)絡(luò)中信息的威脅，也包括對網(wǎng)絡(luò)中設(shè)備的威脅，但歸結(jié)起來，主要有以下幾個方面:(1)網(wǎng)絡(luò)硬件設(shè)施方面計算機網(wǎng)絡(luò)硬件設(shè)施是互聯(lián)網(wǎng)中必不可少的部分，硬件設(shè)施本身就有著安全隱患。電子輻射泄露就是其主要的安全隱患問題，也就是說計算機和網(wǎng)絡(luò)所包含的電磁信息泄露了，這增加了竊密、失密、泄密的危險；此外安全隱患問題也體現(xiàn)在通信部分的脆弱性上，在進行數(shù)據(jù)與信息的交換和通信活動時，主要通過四種線路，即光纜、電話線、專線、微波，除光纜外其它三種線路上的信息比較容易被竊取；除上述方面外，計算機的操作系統(tǒng)與硬件組成的脆弱性，也給系統(tǒng)的濫用埋下了隱患。另外，移動存儲介質(zhì)。移動存儲介質(zhì)比如U盤、移動硬盤等，由于其自身具有方便小巧、存儲量大、通用性強、易攜帶等特點，應(yīng)用比較廣泛，尤其是涉密單位，這給網(wǎng)絡(luò)系統(tǒng)的信息安全造成很大的隱患。如有的不知道U盤、移動硬盤上刪除的文件能夠還原，將曾經(jīng)存貯過私密信息的U盤外借，造成信息的泄露。操作系統(tǒng)方面操作系統(tǒng)是對網(wǎng)絡(luò)系統(tǒng)與本地計算機的安全起關(guān)鍵的決定性作用的部分。這是因為構(gòu)建用戶連接、上層軟件、計算機硬件三者間聯(lián)系的就是計算機的操作系統(tǒng)。操作系統(tǒng)要在復(fù)雜的網(wǎng)絡(luò)環(huán)境下能夠更好的工作，無疑會出現(xiàn)安全方面的漏洞，后門與系統(tǒng)漏洞是操作系統(tǒng)最主要的安全隱患，其包含諸多的問題，比如Windows的遠程過程調(diào)用RPC漏洞、Linux下的緩沖區(qū)溢出等。所以，很容易可以看出，在不能完全符合軟件安全需要的情況下所引發(fā)的計算機網(wǎng)絡(luò)系統(tǒng)的主要缺陷是操作系統(tǒng)軟件的安全漏洞的本質(zhì)，另外，由于操作系統(tǒng)存在安全隱患，數(shù)據(jù)庫程序及電子郵件等都有可能會存在危險。根據(jù)漏洞被利用的不同方式，有大約237條的攻擊屬于遠程攻擊，而本地攻擊僅有25條，由此得出漏洞被利用的主要方式是遠程攻擊，遠程攻擊對于網(wǎng)絡(luò)安全帶來了巨大的隱患。軟件方面近年來，Oracle、微軟、Sun都公布了安全更新公告，提醒用戶盡快下載、安裝官方網(wǎng)站上的相應(yīng)程序，這些安全策略內(nèi)容主要涉及Windows操作系統(tǒng)內(nèi)核更新和Office組件的安全更新，操作系統(tǒng)的安全形勢非常的嚴(yán)峻，給用戶的信息帶來了巨大的隱患。一旦有漏洞的系統(tǒng)在執(zhí)行過程中出現(xiàn)缺陷，同時遇到攻擊，很可能會引發(fā)系統(tǒng)的完全失效。應(yīng)用軟件的與生俱來的特征之一就是軟件缺陷。這些缺陷不僅存在于小程序，也貫穿于大軟件之中，生命與財產(chǎn)因此面臨很大的威脅。最為典型的例子是上個世紀(jì)的海灣戰(zhàn)爭中，軟件計時系統(tǒng)存在誤差，而且這一誤差不斷被累積，致使美軍的愛國者導(dǎo)彈攔截伊拉克飛毛腿導(dǎo)彈失敗，出現(xiàn)了巨大的人員傷亡，引發(fā)了嚴(yán)重的后果。不少網(wǎng)絡(luò)安全問題是由應(yīng)用軟件所存在的缺陷引起的，應(yīng)用軟件的這些安全隱含必須受到足夠的重視?？傊?，從目前的情況來看，我國自2000年來越來越重視信息安全的關(guān)鍵作用，信息與網(wǎng)絡(luò)安全產(chǎn)業(yè)初步形成了一定規(guī)模。然而從總的情況看，我們國家的信息與網(wǎng)絡(luò)安全依然存在著巨大的問題。隨著網(wǎng)絡(luò)的普及，移動，互聯(lián)網(wǎng)，電信業(yè)務(wù)的不斷整合，需要把網(wǎng)絡(luò)建設(shè)成真正可靠、安全的網(wǎng)絡(luò)已經(jīng)成為每個網(wǎng)絡(luò)安全研究人員必須解決的主要問題之一。2.4對計算機網(wǎng)絡(luò)安全的影響因素計算機網(wǎng)絡(luò)就是具有獨立功能的多臺計算機通過通信線路連接起來,在操作系統(tǒng)和網(wǎng)絡(luò)通信協(xié)議的管理協(xié)調(diào)下,實現(xiàn)硬件資源共享、軟件資源共享和用戶間信息交換。在計算機網(wǎng)絡(luò)運行的過程中就會發(fā)生安全問題,而在復(fù)雜的網(wǎng)絡(luò)環(huán)境中要保障計算機網(wǎng)絡(luò)的安全就必須了解影響計算機網(wǎng)絡(luò)安全的幾個因素。(1)自然因素自然因素對計算機網(wǎng)絡(luò)安全的危害主要體現(xiàn)在物理方面,包括氣候的溫度、濕度和人類無法控制的自然災(zāi)害等。自然因素會對構(gòu)成計算機網(wǎng)絡(luò)的電纜、通信光纜、局域網(wǎng)等造成很大威脅,也可能對計算機本身的硬件造成損害,間接地導(dǎo)致網(wǎng)絡(luò)用戶的信息丟失、利益受損。雖然自然因素具有很大的偶然性,但是也是不容忽視的,它可能會對部分地區(qū)的網(wǎng)絡(luò)造成很大打擊。(2)人為因素人為因素主要指人為地對計算機硬件造成破壞導(dǎo)致網(wǎng)絡(luò)信息的丟失以及不法分子惡意地利用計算機網(wǎng)絡(luò)的漏洞,使用竊聽、冒充、篡改等手段,對其他計算機用戶的網(wǎng)絡(luò)資源進行盜取和破壞。人為因素是對計算機網(wǎng)絡(luò)安全造成威脅的最大因素,出現(xiàn)人為因素的原因有很多,除了網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)安全意識和防范技術(shù)有待增強外,同時也包括計算機網(wǎng)絡(luò)本身的缺陷被惡意利用。操作系統(tǒng)是許多程序在計算機上運行的平臺,如UNIX、MSNT、Windows等。網(wǎng)絡(luò)操作系統(tǒng)給用戶帶來了很大便利,但同時也埋了下很大隱患。在操作系統(tǒng)的穩(wěn)定性方面，由于在系統(tǒng)涉及上不能面面俱到，所以造成影響。計算機網(wǎng)絡(luò)的脆弱性對網(wǎng)絡(luò)安全有很大影響,網(wǎng)絡(luò)的開放性、自由性和國際性決定了計算機網(wǎng)絡(luò)將面臨各方面的威脅,計算機可能在這種脆弱性面前被入侵者利用并遭受損失。所以建立有效的監(jiān)視手段是十分必要的,同時能夠減少和預(yù)防計算機受到危害。一些網(wǎng)站在設(shè)置權(quán)限上過于疏忽,容易被黑客蓄意破壞和利用,黑客對網(wǎng)站的非授權(quán)訪問是計算機網(wǎng)絡(luò)環(huán)境面臨的巨大威脅,被黑客利用的網(wǎng)站可以通過網(wǎng)頁或免費下載的軟件等傳播病毒,可使系統(tǒng)工作效率降低,甚至?xí)斐烧麄€系統(tǒng)的癱瘓,極易導(dǎo)致數(shù)據(jù)的丟失。另外,在很大程度上,網(wǎng)絡(luò)用戶本身的網(wǎng)絡(luò)安全意識薄弱致使不法分子有機可乘,不良的上網(wǎng)習(xí)慣和有限的防范技術(shù)經(jīng)常使病毒和間諜軟件入侵至計算機,使自身的信息被盜取,可能造成利益上的損失。防火墻在計算機保護上有著重要意義，它是內(nèi)部網(wǎng)與外部網(wǎng)之間的屏障,是計算機硬件與軟件的結(jié)合,它在網(wǎng)絡(luò)間建立起的安全網(wǎng)關(guān)可以防范黑客的入侵,但是防火墻不能防止來自計算機內(nèi)部的攻擊,所以有很大的局限性。(3)偶發(fā)性因素偶發(fā)性因素包括設(shè)備技能失常、電源故障以及軟件開發(fā)中的漏洞等,雖然會給計算機網(wǎng)絡(luò)造成很大威脅和安全隱患,但是出現(xiàn)概率不大,不過也是不可忽視的。2.5計算機網(wǎng)絡(luò)安全的現(xiàn)狀(1)黑客技術(shù)發(fā)展快速現(xiàn)在的黑客與以前不同的是不再以炫耀技術(shù)為動機,而是帶著明顯的商業(yè)性,這條網(wǎng)絡(luò)上的“灰色產(chǎn)業(yè)鏈”使黑客有了不斷追求突破的動力。大部分病毒都是以利益來驅(qū)動的,同時病毒的傳播方式更加多樣化,包括蠕蟲、傀儡程序、木馬、后門、間諜程序等,很容易使網(wǎng)絡(luò)用戶的信息和數(shù)據(jù)外泄。黑客為了入侵用戶計算機,將病毒利用各種殼和加密工具進行偽裝、隱藏等,使許多殺毒軟件失去查殺能力,給網(wǎng)絡(luò)用戶造成很大威脅。(2)網(wǎng)絡(luò)犯罪猖獗網(wǎng)絡(luò)犯罪呈現(xiàn)出破壞性強、針對性強且波及面廣的特點。在我國,針對銀行等金融領(lǐng)域的計算機系統(tǒng)安全問題造成的損失金額已高達數(shù)億元。非法讀取利用他人信息、非法篡改和刪除他人數(shù)據(jù)、危害他人信息系統(tǒng)安全導(dǎo)致他人計算機系統(tǒng)癱瘓的網(wǎng)絡(luò)犯罪以及傳授他人犯罪方法、發(fā)布非法信息等惡意行為十分猖獗,必須采取強有力的手段遏制這種局面。(3)網(wǎng)絡(luò)用戶安全意識不夠?qū)W(wǎng)絡(luò)的安全意識分為兩個方面：一是對自身網(wǎng)絡(luò)安全保護的意識,二是認識到自己的網(wǎng)絡(luò)行為是否會給他人造成危害的意識。而這兩方面的意識在我國網(wǎng)絡(luò)用戶中還是相對缺乏的,這就造成了用戶不能保護數(shù)據(jù)以及信息的安全或者無意地對其他人的數(shù)據(jù)信息造成危害。(4)網(wǎng)絡(luò)方面法制不夠完善網(wǎng)絡(luò)方面的法制不健全,一方面是我國網(wǎng)絡(luò)發(fā)展處于初級階段,另一方面網(wǎng)絡(luò)法制體現(xiàn)出明顯的滯后性,法制管理遠遠落后于網(wǎng)絡(luò)的快速發(fā)展。這種現(xiàn)狀導(dǎo)致對網(wǎng)絡(luò)犯罪的打擊力度不夠,缺乏威懾力,不能有效地遏制高科技犯罪的發(fā)生。2.6計算機網(wǎng)絡(luò)受攻擊的主要形式由于計算機網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)為病毒、黑客和其他不軌的攻擊提供機會，所以研究計算機網(wǎng)絡(luò)的安全以及防范措施是必要的，這樣才能確保網(wǎng)絡(luò)信息的保密性、安全性、完整性和可用性。計算機網(wǎng)絡(luò)應(yīng)用中常見的安全問題主要有以下六種形式:威脅系統(tǒng)漏洞由于任何一個操作系統(tǒng)和網(wǎng)絡(luò)軟件在設(shè)計上存在缺陷和錯誤，這就為一種不安全的隱患，讓不法者利用，一些惡意代碼會通過漏洞很容易進入計算機系統(tǒng)對主機進行攻擊或控制電腦。所以在使用電腦時，要及時安裝網(wǎng)絡(luò)安全掃描工具，及時下載系統(tǒng)補丁來修復(fù)系統(tǒng)漏洞。(2)欺騙技術(shù)攻擊通過欺騙路由條目、IP地址、DNS解析地址，使服務(wù)器無法正常響應(yīng)這些請求或無法辨別這些請求來攻擊服務(wù)器，從而造成緩沖區(qū)資源阻塞或死機；或者通過將局域網(wǎng)中的某臺計算機設(shè)置為網(wǎng)關(guān)IP地址，導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包轉(zhuǎn)發(fā)異常而使某一網(wǎng)段無法訪問。例如局域網(wǎng)中ARP攻擊包問題。(3)“黑客”的侵犯“黑客”就是一種在網(wǎng)絡(luò)中具有破壞性、隱蔽性和非授權(quán)性的特性，通過網(wǎng)絡(luò)利用系統(tǒng)漏洞等方式非法植入對方計算機系統(tǒng)，一旦進入計算機中，用戶的主機就被黑客完全利用，成為黑客的超級用戶，黑客程序可以被用來竊取密碼、口令、帳號、阻塞用戶、電子郵件騷擾、篡改網(wǎng)頁、破壞程序等行為，對用戶主機安全構(gòu)成嚴(yán)重威脅。因此，從某種意義上講，黑客對網(wǎng)絡(luò)安全的危害甚至超過網(wǎng)絡(luò)病毒攻擊。(4)計算機病毒攻擊計算機病毒是危害網(wǎng)絡(luò)安全的最主要因素。計算機病毒具有隱蔽性、傳染性、潛伏性、破壞性、可觸發(fā)性。病毒程序輕者降低系統(tǒng)工作效率，重者導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失，造成無可挽回的損失，所以我們要正確認識并對待網(wǎng)絡(luò)病毒的攻擊，減少對個人計算機及網(wǎng)絡(luò)系統(tǒng)的破壞，以保護計算機網(wǎng)絡(luò)安全，使得計算機網(wǎng)絡(luò)真正發(fā)揮其積極的作用。(5)網(wǎng)絡(luò)物理設(shè)備故障問題網(wǎng)絡(luò)中的設(shè)備包括計算機、網(wǎng)絡(luò)通信設(shè)備、存儲設(shè)備、傳輸設(shè)備、防雷系統(tǒng)、抗電磁干擾系統(tǒng)、網(wǎng)絡(luò)環(huán)境都是網(wǎng)絡(luò)安全的重要保障，每個環(huán)節(jié)設(shè)備出現(xiàn)問題，都會造成網(wǎng)絡(luò)故障。所以定期和不定期檢測設(shè)備、使用先進的網(wǎng)絡(luò)設(shè)備和產(chǎn)品是網(wǎng)絡(luò)安全不可忽視的問題。(6)網(wǎng)絡(luò)管理缺陷問題如果管理不嚴(yán)格，網(wǎng)絡(luò)安全意識不強，都會對網(wǎng)絡(luò)安全造成威脅，如用戶名和口令設(shè)置不妥，重要機密數(shù)據(jù)不加密，數(shù)據(jù)備份不及時，用戶級別權(quán)限劃分不明確或根本無級別限制，就容易導(dǎo)致病毒、黑客和非法受限用戶入侵網(wǎng)絡(luò)系統(tǒng)，讓數(shù)據(jù)泄露、修改、刪除，甚至使系統(tǒng)崩潰。

第3章網(wǎng)絡(luò)安全解決方案網(wǎng)絡(luò)安全是一項動態(tài)、整體的系統(tǒng)工程，從技術(shù)上來說，網(wǎng)絡(luò)安全有安全的操作系統(tǒng)、應(yīng)用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡(luò)監(jiān)控、信息審計、通信加密、災(zāi)難恢復(fù)、安全掃描等多個安全組件組成，一個單獨的組件是無法確保信息網(wǎng)絡(luò)的安全性。（1）防病毒技術(shù)網(wǎng)絡(luò)中的系統(tǒng)可能會受到多種病毒威脅，為了免受病毒所造成的損失，可以采用多層的病毒防衛(wèi)體系。即在每臺計算機安裝單機版反病毒軟件，在服務(wù)器上安裝基于服務(wù)器的反病毒軟件，在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件。做到每臺計算機不受病毒的感染，從而保證整個企業(yè)網(wǎng)不受病毒的感染。由于病毒在網(wǎng)絡(luò)中存儲、傳播、感染的方式各異且途徑多種多樣，故相應(yīng)地在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時，應(yīng)利用全防衛(wèi)的企業(yè)防毒產(chǎn)品，實施層層設(shè)防、集中控制、以防為主、防殺結(jié)合的策略。（2）防火墻技術(shù)防火墻技術(shù)是近年發(fā)展起來的重要網(wǎng)絡(luò)安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通信，根據(jù)用戶設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，保障內(nèi)外網(wǎng)絡(luò)通信。在網(wǎng)絡(luò)出口處安裝防火墻后，防火墻可以對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進行有效的隔離，所有來自外部網(wǎng)絡(luò)的訪問請求都要通過防火墻的檢查，提高內(nèi)部網(wǎng)絡(luò)的安全。防火墻可以完成具體任務(wù)：通過源地址過濾，拒絕外部非法IP地址，有效的避免了外部網(wǎng)絡(luò)上與業(yè)務(wù)無關(guān)的主機越權(quán)訪問；可以只保留有用的服務(wù)，將其他不需要的服務(wù)關(guān)閉，這樣做可以將系統(tǒng)受攻擊的可能性降低到最小限度，使黑客無機可乘；制定訪問策略，只有被授權(quán)的外部主機才可以訪問內(nèi)部網(wǎng)絡(luò)的有限IP地址，保證外部網(wǎng)絡(luò)只能訪問內(nèi)部網(wǎng)絡(luò)中的必要資源，與業(yè)務(wù)無關(guān)的操作將被拒絕；由于安裝防火墻后，網(wǎng)絡(luò)的安全策略由防火墻集中管理，黑客無法通過更改某一臺主機的安全策略來達到控制其他資源訪問權(quán)限的目的，而直接攻擊防火墻是不可能的。（3）入侵檢測技術(shù)入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實時的入侵檢測及采取相應(yīng)的防護手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實時入侵檢測能力之所以重要，是因為它能夠?qū)Ω秮碜詢?nèi)外網(wǎng)絡(luò)的攻擊。如在需要保護的主機網(wǎng)段上安裝了入侵檢測系統(tǒng)，可以實時監(jiān)視各種對主機的訪問要求，并及時將信息反饋給控制臺，這樣全網(wǎng)任何一臺主機受到攻擊時系統(tǒng)都可以及時發(fā)現(xiàn)。（4）安全掃描技術(shù)這是又一類重要的網(wǎng)絡(luò)安全技術(shù)。安全掃描技術(shù)與防火墻、入侵檢測系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性。通過對網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運行的應(yīng)用服務(wù)，及時發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)絡(luò)風(fēng)險等級。網(wǎng)絡(luò)管理員可以根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯誤配置，在黑客攻擊前進行防范。如果說放火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動的防御手段，那么安全掃描就是一種主動的防范措施，可以有效避免黑客攻擊行為，做到防患于未然。安全掃描工具源于黑客在入侵網(wǎng)絡(luò)系統(tǒng)時所采用的工具，商品化的安全掃描工具為網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)提供了強大的支持。(5)網(wǎng)絡(luò)安全緊急響應(yīng)體系網(wǎng)絡(luò)安全作為一項動態(tài)工程，意味著它的安全程度會隨著時間的變化而發(fā)生變化。在信息技術(shù)日新月異的今天，需要隨著時間和網(wǎng)絡(luò)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略，并及時組建網(wǎng)絡(luò)安全緊急響應(yīng)體系，專人負責(zé)，防范安全突發(fā)事件。3.1網(wǎng)絡(luò)安全的主要技術(shù)安全是網(wǎng)絡(luò)賴以生存的保障，只有安全得到保障，網(wǎng)絡(luò)才能實現(xiàn)自身的價值。網(wǎng)絡(luò)安全技術(shù)隨著人們網(wǎng)絡(luò)實踐的發(fā)展而發(fā)展，其涉及的技術(shù)面非常廣，主要的技術(shù)如認證、加密、防火墻及入侵檢測是網(wǎng)絡(luò)安全的重要防線。

(1)認證對合法用戶進行認證可以防止非法用戶獲得對公司信息系統(tǒng)的訪問，使用認證機制還可以防止合法用戶訪問他們無權(quán)查看的信息。現(xiàn)列舉幾種如下：eq\o\ac(○,1)身份認證。當(dāng)系統(tǒng)的用戶要訪問系統(tǒng)資源時要求確認是否是合法的用戶，這就是身份認證。常采用用戶名和口令等最簡易方法進行用戶身份的認證識別。eq\o\ac(○,2)報文認證。主要是通信雙方對通信的內(nèi)容進行驗證，以保證報文由確認的發(fā)送方產(chǎn)生、報文傳到了要發(fā)給的接受方、傳送中報文沒被修改過。eq\o\ac(○,3)訪問授權(quán)。主要是確認用戶對某資源的訪問權(quán)限。eq\o\ac(○,4)數(shù)字簽名。數(shù)字簽名是一種使用加密認證電子信息的方法，其安全性和有用性主要取決于用戶私匙的保護和安全的哈希函數(shù)。數(shù)字簽名技術(shù)是基于加密技術(shù)的，可用對稱加密算法、非對稱加密算法或混合加密算法來實現(xiàn)。(2)數(shù)據(jù)加密加密就是通過一種方式使信息變得混亂，從而使未被授權(quán)的人看不懂它。主要存在兩種主要的加密類型：私匙加密和公匙加密。eq\o\ac(○,1)私匙加密。私匙加密又稱對稱密匙加密，因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性，它不提供認證，因為使用該密匙的任何人都可以創(chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點是速度很快，很容易在硬件和軟件件中實現(xiàn)。eq\o\ac(○,2)公匙加密。公匙加密比私匙加密出現(xiàn)得晚，私匙加密使用同一個密匙加密和解密，而公匙加密使用兩個密匙，一個用于加密信息，另一個用于解密信息。公匙加密系統(tǒng)的缺點是它們通常是計算密集的，因而比私匙加密系統(tǒng)的速度慢得多，不過若將兩者結(jié)合起來，就可以得到一個更復(fù)雜的系統(tǒng)。eq\o\ac(○,3)防火墻技術(shù)。防火墻是網(wǎng)絡(luò)訪問控制設(shè)備，用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù)，它不同于只會確定網(wǎng)絡(luò)信息傳輸方向的簡單路由器，而是在網(wǎng)絡(luò)傳輸通過相關(guān)的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結(jié)合的形式來保護自己的網(wǎng)絡(luò)不受惡意傳輸?shù)墓?，其中最流行的技術(shù)有靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾和代理服務(wù)器技術(shù)，它們的安全級別依次升高，但具體實踐中既要考慮體系的性價比，又要考慮安全兼顧網(wǎng)絡(luò)連接能力。此外，現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測技術(shù)。防火墻的安全控制主要是基于IP地址的，難以為用戶在防火墻內(nèi)外提供一致的安全策略；而且防火墻只實現(xiàn)了粗粒度的訪問控制，也不能與企業(yè)內(nèi)部使用的其他安全機制（如訪問控制）集成使用；另外，防火墻難于管理和配置，由多個系統(tǒng)（路由器、過濾器、代理服務(wù)器、網(wǎng)關(guān)、保壘主機）組成的防火墻，管理上難免有所疏忽。eq\o\ac(○,4)入侵檢測系統(tǒng)。入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點，是一種積極主動的安全防護技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。隨著時代的發(fā)展，入侵檢測技術(shù)將朝著三個方向發(fā)展：分布式入侵檢測、智能化入侵檢測和全面的安全防御方案。入侵檢測系統(tǒng)（InstusionDetectionSystem，簡稱IDS）是進行入侵檢測的軟件與硬件的組合，其主要功能是檢測，除此之外還有檢測部分阻止不了的入侵；檢測入侵的前兆，從而加以處理，如阻止、封閉等；入侵事件的歸檔，從而提供法律依據(jù)；網(wǎng)絡(luò)遭受威脅程度的評估和入侵事件的恢復(fù)等功能。3.2確保計算機網(wǎng)絡(luò)安全的防范措施如何才能使我們的網(wǎng)絡(luò)百分之百的安全呢？對這個問題的最簡單的回答是：不可能。因為迄今還沒有一種技術(shù)可完全消除網(wǎng)絡(luò)安全漏洞。網(wǎng)絡(luò)的安全實際上是理想中的安全策略和實際的執(zhí)行之間的一個平衡。從廣泛的網(wǎng)絡(luò)安全意義范圍來看，網(wǎng)絡(luò)安全不僅是技術(shù)問題，更是一個管理問題，它包含管理機構(gòu)、法律、技術(shù)、經(jīng)濟各方面。我們可從提高網(wǎng)絡(luò)安全技術(shù)和人員素質(zhì)入手，從目前來看。(1)依據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》和《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》建立健全各種安全機制、各種網(wǎng)絡(luò)安全制度，加強網(wǎng)絡(luò)安全教育和培訓(xùn)。(2)網(wǎng)絡(luò)病毒的防范在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴散快，僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。學(xué)校、政府機關(guān)、企事業(yè)單位等網(wǎng)絡(luò)一般是內(nèi)部局域網(wǎng)，就需要一個基于服務(wù)器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連，就需要網(wǎng)關(guān)的防病毒軟件，加強上網(wǎng)計算機的安全。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進行信息交換，還需要一套基于郵件服務(wù)器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品，針對網(wǎng)絡(luò)中所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動升級，及時為每臺客戶端計算機打好補丁，加強日常監(jiān)測，使網(wǎng)絡(luò)免受病毒的侵襲。現(xiàn)在網(wǎng)絡(luò)版殺毒軟件比較多，如瑞星、江民、趨勢、金山毒霸等。配置防火墻利用防火墻，在網(wǎng)絡(luò)通訊時執(zhí)行一種訪問控制尺度，允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡(luò)，同時將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)，防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，根據(jù)不同網(wǎng)絡(luò)的安裝需求，做好防火墻內(nèi)服務(wù)器及客戶端的各種規(guī)則配置，更加有效利用好防火墻。網(wǎng)絡(luò)防火墻技術(shù)網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。

應(yīng)該在哪些地方部署防火墻呢？首先，應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處,以阻擋來自外部網(wǎng)絡(luò)的入侵；其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)(VLAN)，則應(yīng)該在各個VLAN之間設(shè)置防火墻；第三,通過公網(wǎng)連接的總部與各分支機構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件，還應(yīng)該同時將總部與各分支機構(gòu)組成虛擬專用網(wǎng)(VPN)。

作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層，負責(zé)網(wǎng)絡(luò)間的安全認證與傳輸，但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務(wù)，同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外，還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證、防止病毒與黑客侵入等方向發(fā)展。根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。包過濾型包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。包過濾技術(shù)的優(yōu)點是簡單實用，實現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進行判斷，無法識別基于應(yīng)用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不需要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址。

在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當(dāng)不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進行設(shè)置，用戶只要進行常規(guī)操作即可。代理型代理型防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器；而從服務(wù)器來看，代理服務(wù)器又是一臺真正的客戶機。當(dāng)客戶機需要使用服務(wù)器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點是安全性較高，可以針對應(yīng)用層進行偵測和掃描，對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。

(4)監(jiān)測型監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器，這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中，不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊，同時對來自內(nèi)部的惡意破壞也有極強的防范作用。（5）采用入侵檢測系統(tǒng)入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。在學(xué)校、政府機關(guān)、企事業(yè)網(wǎng)絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)，則會構(gòu)架成一套完整立體的主動防御體系，有的入侵檢測設(shè)備可以同防火強進行聯(lián)動設(shè)置。Web，Email，BBS的安全監(jiān)測系統(tǒng)在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、Email、FTP、Telnet應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時向上級安全網(wǎng)管中心報告，采取措施。(7)漏洞掃描系統(tǒng)解決網(wǎng)絡(luò)層安全問題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估，顯然是不現(xiàn)實的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。（8）IP盜用問題的解決在路由器上捆綁IP和MAC地址。當(dāng)某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就放行。否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。（9）利用網(wǎng)絡(luò)監(jiān)聽維護子網(wǎng)系統(tǒng)安全對于網(wǎng)絡(luò)外部的入侵可以通過安裝防火墻來解決，但是對于網(wǎng)絡(luò)內(nèi)部的侵襲則無能為力。在這種情況下，我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件，為管理人員分析自己的網(wǎng)絡(luò)運作狀態(tài)提供依據(jù)。設(shè)計一個子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡(luò)內(nèi)計算機間相互聯(lián)系的情況，為系統(tǒng)中各個服務(wù)器的審計文件提供備份。3.3虛擬專用網(wǎng)（VPN）技術(shù)VPN是目前解決信息安全問題的一個最新、最成功的技術(shù)課題之一，所謂虛擬專用網(wǎng)（VPN）技術(shù)就是在公共網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。用以在公共通信網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機制，這兩種機制為路由過濾技術(shù)和隧道技術(shù)。目前VPN主要采用了如下四項技術(shù)來保障安全：隧道技術(shù)（Tunneling)、加解密技術(shù)（Encryption&Decryption)、密匙管理技術(shù)（KeyManagement)和使用者與設(shè)備身份認證技術(shù)（Authentication)。其中幾種流行的隧道技術(shù)分別為PPTP、L2TP和Ipsec。VPN隧道機制應(yīng)能技術(shù)不同層次的安全服務(wù)，這些安全服務(wù)包括不同強度的源鑒別、數(shù)據(jù)加密和數(shù)據(jù)完整性等。VPN也有幾種分類方法，如按接入方式分成專線VPN和撥號VPN；按隧道協(xié)議可分為第二層和第三層的；按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的。其他網(wǎng)絡(luò)安全技術(shù)eq\o\ac(○,1)智能卡技術(shù)，智能卡技術(shù)和加密技術(shù)相近，其實智能卡就是密匙的一種媒體，由授權(quán)用戶持有并由該用戶賦與它一個口令或密碼字，該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼一致。智能卡技術(shù)一般與身份驗證聯(lián)合使用。eq\o\ac(○,2)安全脆弱性掃描技術(shù)，它為能針對網(wǎng)絡(luò)分析系統(tǒng)當(dāng)前的設(shè)置和防御手段，指出系統(tǒng)存在或潛在的安全漏洞，以改進系統(tǒng)對網(wǎng)絡(luò)入侵的防御能力的一種安全技術(shù)。eq\o\ac(○,3)網(wǎng)絡(luò)數(shù)據(jù)存儲、備份及容災(zāi)規(guī)劃，它是當(dāng)系統(tǒng)或設(shè)備不幸遇到災(zāi)難后就可以迅速地恢復(fù)數(shù)據(jù)，使整個系統(tǒng)在最短的時間內(nèi)重新投入正常運行的一種安全技術(shù)方案。其他網(wǎng)絡(luò)安全技術(shù)還有我們較熟悉的各種網(wǎng)絡(luò)防殺病毒技術(shù)等等。網(wǎng)絡(luò)安全問題的由來網(wǎng)絡(luò)設(shè)計之初僅考慮到信息交流的便利和開放，而對于保障信息安全方面的規(guī)劃則非常有限，這樣，伴隨計算機與通信技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)攻擊與防御技術(shù)循環(huán)遞升，原來網(wǎng)絡(luò)固有優(yōu)越性的開放性和互聯(lián)性變成信息的安全性隱患之便利橋梁。網(wǎng)絡(luò)安全已變成越來越棘手的問題，只要是接入到因特網(wǎng)中的主機都有可能被攻擊或入侵了，而遭受安全問題的困擾。目前所運用的TCP/IP協(xié)議在設(shè)計時，對安全問題的忽視造成網(wǎng)絡(luò)自身的一些特點，而所有的應(yīng)用安全協(xié)議都架設(shè)在TCP/IP之上，TCP/IP協(xié)議本身的安全問題，極大地影響了上層應(yīng)用的安全。網(wǎng)絡(luò)的普及和應(yīng)用還是近10年的事，而操作系統(tǒng)的產(chǎn)生和應(yīng)用要遠早于此，故而操作系統(tǒng)、軟件系統(tǒng)的不完善性也造成安全漏洞；在安全體系結(jié)構(gòu)的設(shè)計和實現(xiàn)方面，即使再完美的體系結(jié)構(gòu)，也可能一個小小的編程缺陷，帶來巨大的安全隱患；而且，安全體系中的各種構(gòu)件間缺乏緊密的通信和合作，容易導(dǎo)致整個系統(tǒng)被各個擊破。網(wǎng)絡(luò)安全問題對策的思考網(wǎng)絡(luò)安全建設(shè)是一個系統(tǒng)工程、是一個社會工程，網(wǎng)絡(luò)安全問題的對策可從下面4個方面著手。eq\o\ac(○,1)網(wǎng)絡(luò)安全的保障從技術(shù)角度看。首先，要樹立正確的思想準(zhǔn)備。網(wǎng)絡(luò)安全的特性決定了這是一個不斷變化、快速更新的領(lǐng)域，況且我國在信息安全領(lǐng)域技術(shù)方面和國外發(fā)達國家還有較大的差距，這都意味著技術(shù)上的“持久戰(zhàn)”，也意味著人們對于網(wǎng)絡(luò)安全領(lǐng)域的投資是長期的行為。其次，建立高素質(zhì)的人才隊伍。目前在我國，網(wǎng)絡(luò)信息安全存在的突出問題是人才稀缺、人才流失，尤其是拔尖人才，同時網(wǎng)絡(luò)安全人才培養(yǎng)方面的投入還有較大缺欠。最后，在具體完成網(wǎng)絡(luò)安全保障的需求時，要根據(jù)實際情況，結(jié)合各種要求（如性價比等），需要多種技術(shù)的合理綜合運用。eq\o\ac(○,2)網(wǎng)絡(luò)安全的保障從管理角度看。考察一個內(nèi)部網(wǎng)是否安全，不僅要看其技術(shù)手段，而更重要的是看對該網(wǎng)絡(luò)所采取的綜合措施，不光看重物理的防范因素，更要看重人員的素質(zhì)等“軟”因素，這主要是重在管理，“安全源于管理，向管理要安全”。再好的技術(shù)、設(shè)備，而沒有高質(zhì)量的管理，也只是一堆廢鐵。eq\o\ac(○,3)網(wǎng)絡(luò)安全的保障從組織體系角度看。要盡快建立完善的網(wǎng)絡(luò)安全組織體系，明確各級的責(zé)任。建立科學(xué)的認證認可組織管理體系、技術(shù)體系的組織體系，和認證認可各級結(jié)構(gòu)，保證信息安全技術(shù)、信息安全工程、信息安全產(chǎn)品，信息安全管理工作的組織體系。以影響計算機網(wǎng)絡(luò)安全的主要因素為突破口，重點分析防范各種不利于計算機網(wǎng)絡(luò)正常運行的措施，從不同角度全面了解影響計算機網(wǎng)絡(luò)安全的情況，做到心中有數(shù)，將不利因素解決在萌芽狀態(tài)，確保計算機網(wǎng)絡(luò)的安全管理與有效運行。隨著計算機網(wǎng)絡(luò)的發(fā)展和Internet的廣泛普及，信息已經(jīng)成為現(xiàn)代社會生活的核心。國家政府機構(gòu)、各企事業(yè)單位不僅大多建立了自己的局域網(wǎng)系統(tǒng)，而且通過各種方式與互聯(lián)網(wǎng)相連。通過上網(wǎng)樹立形象、拓展業(yè)務(wù)，已經(jīng)成為政府辦公、企業(yè)發(fā)展的重要手段。最后，在盡快加強網(wǎng)絡(luò)立法和執(zhí)法力度的同時，不斷提高全民的文明道德水準(zhǔn)，倡導(dǎo)健康的“網(wǎng)絡(luò)道德”，增強每個網(wǎng)絡(luò)用戶的安全意識，只有這樣才能從根本上解決網(wǎng)絡(luò)安全問題。

第4章計算機網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全管理是指對所有計算機網(wǎng)絡(luò)應(yīng)用體系中各個方面的安全技術(shù)和產(chǎn)品進行統(tǒng)一的管理和協(xié)調(diào)，進而從整體上提高整個計算機網(wǎng)絡(luò)的防御入侵、抵抗攻擊的能力體系。通常，建立一個安全管理系統(tǒng)包括多個方面的建設(shè)，如技術(shù)上實現(xiàn)的計算機安全管理系統(tǒng)，為系統(tǒng)定制的安全管理方針，相應(yīng)的安全管理制度和人員等。最初人們對網(wǎng)絡(luò)安全的普遍認識是單點式的、分散的安全管理。一個系統(tǒng)中采用各類不同的安全設(shè)施實現(xiàn)不同的安全功能，而這些設(shè)備需要分別采用不同的軟件和方法進行配置和管理，目前大部分單個的網(wǎng)絡(luò)安全管理工具比較分散，各個安全功能需要分別進行配置，不同的管理工具之間缺乏連通性，但是由各種技術(shù)和產(chǎn)品構(gòu)成的系統(tǒng)日益復(fù)雜，例如，IDS系統(tǒng)要采用廠商的控制端軟件實現(xiàn)系統(tǒng)狀態(tài)監(jiān)控，身份驗證系統(tǒng)需要采用相應(yīng)的控制中心進行管理。管理員如果要實現(xiàn)一個整體安全策略需要對不同的設(shè)備分別進行設(shè)置，并根據(jù)不同設(shè)備的日志和報警信息進行管理，難度較大，特別是在全局安全策略需要進調(diào)整時，很難考慮周全和實現(xiàn)全局的一致性。目前而言系統(tǒng)管理人員普遍需要的是具備自動響應(yīng)能力的綜合管理體系。網(wǎng)絡(luò)管理的趨勢是向分布式、智能化和綜合化方向發(fā)展。（1）基于Web的管理www以其能簡單、有效地獲取如文本、圖形、聲音與視頻等不同類型的數(shù)據(jù)在Internet上廣為使用。作為一種全新的網(wǎng)絡(luò)管理模式，基于Web的網(wǎng)絡(luò)管理WBM應(yīng)運而生。WBM提供給普通擁護非常熟悉的Web瀏覽器的單一用戶借口，以實現(xiàn)透明地訪問分布在Internet上的各類信息，并且很容易支持大多數(shù)現(xiàn)有的標(biāo)準(zhǔn)網(wǎng)絡(luò)管理協(xié)議框架。（2）基于CORBA的管理公共對象請求代理體系結(jié)構(gòu)CORBA是由對象管理小組為開發(fā)面向?qū)ο蟮膽?yīng)用程序提供的一個通用框架結(jié)構(gòu)。（3）采用Java技術(shù)管理Java用于異購分布式網(wǎng)絡(luò)環(huán)境的應(yīng)用程序開發(fā)，它提供了一個易移植、安全、高性能、簡單、多線程和面向?qū)ο蟮沫h(huán)境，實現(xiàn)“一次編譯，到處運行”。將Java技術(shù)集成至網(wǎng)絡(luò)管理，可以有助于克服傳統(tǒng)的純SNMP的一些問題，降低網(wǎng)絡(luò)管理的復(fù)雜性。總之，計算機技術(shù)和網(wǎng)絡(luò)技術(shù)已深入到社會的各個領(lǐng)域，人類社會各種活動對計算機網(wǎng)絡(luò)的依賴程度已經(jīng)越來越大。增強社會安全意識教育，普及計算機網(wǎng)絡(luò)安全教育，提高計算機網(wǎng)絡(luò)安全技術(shù)水平，改善計算機網(wǎng)絡(luò)的安全現(xiàn)狀，成為當(dāng)務(wù)之急。4.1技術(shù)層面對策在技術(shù)方面，計算機網(wǎng)絡(luò)安全技術(shù)主要有實時掃描技術(shù)、實時監(jiān)測技術(shù)、防火墻、完整性檢驗保護技術(shù)、病毒情況分析報告技術(shù)和系統(tǒng)安全管理技術(shù)。綜合起來，技術(shù)層面可以采取以下對策：(1)建立安全管理制度提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。對重要部門和信息，嚴(yán)格做好開機查毒，及時備份數(shù)據(jù)，這是一種簡單有效的方法。(2)網(wǎng)絡(luò)訪問控制訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。(3)數(shù)據(jù)庫的備份與恢復(fù)數(shù)據(jù)庫的備份與恢復(fù)是數(shù)據(jù)庫管理員維護數(shù)據(jù)安全性和完整性的重要操作。備份是恢復(fù)數(shù)據(jù)庫最容易和最能防止意外的保證方法。恢復(fù)是在意外發(fā)生后利用備份來恢復(fù)數(shù)據(jù)的操作。有三種主要備份策略：只備份數(shù)據(jù)庫、備份數(shù)據(jù)庫和事務(wù)日志、增量備份。(4)應(yīng)用密碼技術(shù)應(yīng)用密碼技術(shù)是信息安全核心技術(shù)，密碼手段為信息安全提供了可靠保證?；诿艽a的數(shù)字簽名和身份認證是當(dāng)前保證信息完整性的最主要方法之一，密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。（5)切斷傳播途徑對被感染的硬盤和計算機進行徹底殺毒處理，不使用來歷不明的U盤和程序，不隨意下載網(wǎng)絡(luò)可疑信息。（6)提高網(wǎng)絡(luò)反病毒技術(shù)能力通過安裝病毒防火墻，進行實時過濾。對網(wǎng)絡(luò)服務(wù)器中的文件進行頻繁掃描和監(jiān)測，在工作站上采用防病毒卡，加強網(wǎng)絡(luò)目錄和文件訪問權(quán)限的設(shè)置。在網(wǎng)絡(luò)中，限制只能由服務(wù)器才允許執(zhí)行的文件。（7)研發(fā)并完善高安全的操作系統(tǒng)研發(fā)具有高安全的操作系統(tǒng)，不給病毒得以滋生的溫床才能更安全。4.2管理層面對策計算機網(wǎng)絡(luò)的安全管理，不僅要看所采用的安全技術(shù)和防范措施，而且要看它所采取的管理措施和執(zhí)行計算機安全保護法律、法規(guī)的力度。只有將兩者緊密結(jié)合，才能使計算機網(wǎng)絡(luò)安全確實有效。計算機網(wǎng)絡(luò)的安全管理，包括對計算機用戶的安全教育、建立相應(yīng)的安全管理機構(gòu)、不斷完善和加強計算機的管理功能、加強計算機及網(wǎng)絡(luò)的立法和執(zhí)法力度等方面。加強計算機安全管理、加強用戶的法律、法規(guī)和道德觀念，提高計算機用戶的安全意識，對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾，是十分重要的措施。這就要對計算機用戶不斷進行法制教育，包括計算機安全法、計算機犯罪法、保密法、數(shù)據(jù)保護法等，明確計算機用戶和系統(tǒng)管理人員應(yīng)履行的權(quán)利和義務(wù)，自覺遵守合法信息系統(tǒng)原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則，自覺地和一切違法犯罪的行為作斗爭，維護計算機及網(wǎng)絡(luò)系統(tǒng)的安全，維護信息系統(tǒng)的安全。除此之外，還應(yīng)教育計算機用戶和全體工作人員，應(yīng)自覺遵守為維護系統(tǒng)安全而建立的一切規(guī)章制度，包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛(wèi)管理制度、專機專用和嚴(yán)格分工等管理制度。4.3物理安全層面對策要保證計算機網(wǎng)絡(luò)系統(tǒng)的安全、可靠，必須保證系統(tǒng)實體有個安全的物理環(huán)境條件。這個安全的環(huán)境是指機房及其設(shè)施，主要包括以下內(nèi)容：（1)計算機系統(tǒng)的環(huán)境條件計算機系統(tǒng)的安全環(huán)境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面，都要有具體的要求和嚴(yán)格的標(biāo)準(zhǔn)。（2)機房場地環(huán)境的選擇計算機系統(tǒng)選擇一個合適的安裝場所十分重要。它直接影響到系統(tǒng)的安全性和可靠性。選擇計算機房場地，要注意其外部環(huán)境安全性、地質(zhì)可靠性、場地抗電磁干擾性，避開強振動源和強噪聲源，并避免設(shè)在建筑物高層和用水設(shè)備的下層或隔壁。還要注意出入口的管理。（3)機房的安全防護機房的安全防護是針對環(huán)境的物理災(zāi)害和防止未授權(quán)的個人或團體破壞、篡改或盜竊網(wǎng)絡(luò)設(shè)施、重要數(shù)據(jù)而采取的安全措施和對策。為做到區(qū)域安全，首先，應(yīng)考慮物理訪問控制來識別訪問用戶的身份，并對其合法性進行驗證；其次，對來訪者必須限定其活動范圍；第三，要在計算機系統(tǒng)中心設(shè)備外設(shè)多層安全防護圈，以防止非法暴力入侵；第四設(shè)備所在的建筑物應(yīng)具有抵御各種自然災(zāi)害的設(shè)施。計算機網(wǎng)絡(luò)安全是一項復(fù)雜的系統(tǒng)工程，涉及技術(shù)、設(shè)備、管理和制度等多方面的因素，安全解決方案的制定需要從整體上進行把握。網(wǎng)絡(luò)安全解決方案是綜合各種計算機網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)，將安全操作系統(tǒng)技術(shù)、防火墻技術(shù)、病毒防護技術(shù)、入侵檢測技術(shù)、安全掃描技術(shù)等綜合起來，形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護體系。我們必須做到管理和技術(shù)并重，安全技術(shù)必須結(jié)合安全措施，并加強計算機立法和執(zhí)法的力度，建立備份和恢復(fù)機制，制定相應(yīng)的安全標(biāo)準(zhǔn)。此外，由于計算機病毒、計算機犯罪等技術(shù)是不分國界的，因此必須進行充分的國際合作，來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。4.4計算機網(wǎng)絡(luò)安全認證體系的完善（1)安全服務(wù)系統(tǒng)的建立eq\o\ac(○,1)身份認證。身份認證作為訪問控制的基礎(chǔ),是解決主動攻擊威脅的重要防御措施之一。因為驗證身份的方式一般采用網(wǎng)絡(luò)進行的模式而不是直接參與,而且常規(guī)驗證身份的方式在網(wǎng)絡(luò)上也不是十分地適用，同時大量的黑客還會隨時隨地以冒名頂替的身份向網(wǎng)絡(luò)滲透,所以網(wǎng)絡(luò)環(huán)境下的身份認證特別復(fù)雜，而“身份認證如果想要做到準(zhǔn)確無誤地對來訪者進行辨別,同時還必須提供雙向的認證”，必須采用高強度的密碼技術(shù)來進行身份認證的建立與完善。eq\o\ac(○,2)訪問控制。進行訪問控制是為了達到控制不同的用戶對信息資源的訪問權(quán)限的目的,實質(zhì)上是針對越權(quán)使用資源的一種防御措施。而訪問控制的種類亦可從方式上分為自主式訪問控制和強制式訪問控制兩類。實現(xiàn)的機制可以是通過對訪問屬性控制的訪問控制表的控制,也可以是根據(jù)安全標(biāo)簽、用戶分類以及資源分檔等三類控制實現(xiàn)的多級控制。eq\o\ac(○,3)數(shù)據(jù)保密。數(shù)據(jù)保密是為了防止信息泄露所采取的防御措施。數(shù)據(jù)加密是最為常見的確保通信安全的手段,但是隨著計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,傳統(tǒng)的加密方法不斷地被用戶以及黑客們破譯,所以不得不加強對更高強度的加密算法的研究,以實現(xiàn)最終的數(shù)據(jù)保密的目的。eq\o\ac(○,4)數(shù)據(jù)完整性。所謂的數(shù)據(jù)完整性是針對那些非法篡改信息、文件及業(yè)務(wù)流等威脅而采取的較為有效的防范措施。實質(zhì)上就是保護網(wǎng)上所傳輸?shù)臄?shù)據(jù)防以免其被修改、替換、刪除、插入或重發(fā),從而全面保護合法用戶在接收和使用該數(shù)據(jù)時的真實性與完整性。（2)安全機制的發(fā)展與完善eq\o\ac(○,1)在經(jīng)過了對于計算機網(wǎng)絡(luò)的安全認證提的創(chuàng)建之后，完善與健全與安全服務(wù)有關(guān)的安全機制也是必不可少的。第一方面是安全服務(wù)方面的安全機制的發(fā)展，具體表現(xiàn)為加密機機制、認證交換機制、數(shù)字簽名機制、數(shù)據(jù)完整性機制、訪問控制機制、路由控制機制等多個方面；第二方面是對于與管理有關(guān)的安全機制的健全，主要包含有安全審核機制、安全標(biāo)記機制以及安全恢復(fù)機制等三個方面。eq\o\ac(○,2)1989年,為了實現(xiàn)開放系統(tǒng)的互聯(lián)網(wǎng)環(huán)境下對于信息安全的要求,國際標(biāo)準(zhǔn)化組織ISO/TC97的技術(shù)委員會專門制訂了對于計算機網(wǎng)絡(luò)安全與管理ISO7498-2的國際標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)的建立不僅實現(xiàn)了對于OSI參考模型之間的安全通信所必須的安全服務(wù)和安全機制的開建,同時也建立了“開放系統(tǒng)互聯(lián)標(biāo)準(zhǔn)的安全體系結(jié)構(gòu)框架”,為網(wǎng)絡(luò)安全與管理的系統(tǒng)研究奠定了堅實的基礎(chǔ)。同時也開創(chuàng)了網(wǎng)絡(luò)安全的保證需要進行認證的先河。4.5網(wǎng)絡(luò)安全方面的可行性建議計算機網(wǎng)絡(luò)是一個開放和自由的空間，它在大大增強信息服務(wù)靈活性的同時，也帶來了眾多安全隱患，黑客和反黑客、破壞和反破壞的斗爭愈演愈烈，不僅影響了網(wǎng)絡(luò)穩(wěn)定運行和用戶的正常使用，造成重大經(jīng)濟損失，而且還可能威脅到國家安全。如何更有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為影響一個國家的政治、經(jīng)濟、軍事和人民生活的重大關(guān)鍵問題。本文通過深入分析網(wǎng)絡(luò)安全面臨的挑戰(zhàn)及攻擊的主要方式，從管理和技術(shù)兩方面就加強計算機網(wǎng)絡(luò)安全提出針對性建議。（1)加大輿論宣傳,加強思想與網(wǎng)絡(luò)安全意識建設(shè)文化和法制等部門在社會主要加大基本網(wǎng)絡(luò)安全知識的普及,并加強安全意識的宣傳,同時要求網(wǎng)絡(luò)用戶在思想上要引起高度智能重視,認識到網(wǎng)絡(luò)犯罪的概念與危害,加強網(wǎng)民尤其是青少年的法制觀念教育,增強他們的法律意識,使他們依法自律,從而減少網(wǎng)絡(luò)犯罪的發(fā)生。（2)加大投入,培養(yǎng)網(wǎng)絡(luò)人才,開發(fā)網(wǎng)絡(luò)先進技術(shù)國家加大對網(wǎng)絡(luò)人才培養(yǎng)方面以及對網(wǎng)絡(luò)技術(shù)開發(fā)方面的投資是十分有必要的,強大的技術(shù)力量不僅是和諧網(wǎng)絡(luò)環(huán)境的保障,同時也是對不法分子的一種威懾。在技術(shù)較量中取得勝利,同時在網(wǎng)絡(luò)犯罪技術(shù)追查上取得絕對優(yōu)勢,將會在很大程度上減少網(wǎng)絡(luò)犯罪的發(fā)生。（3完善網(wǎng)絡(luò)管理制度,加強法制建設(shè)雖然我國在網(wǎng)絡(luò)管理方面出臺了一些政策,但是由于網(wǎng)絡(luò)發(fā)展速度快導(dǎo)致了法制的滯后性,使有關(guān)部門在打擊網(wǎng)絡(luò)犯罪的過程中面臨無法可依的尷尬局面。所以法制建設(shè)應(yīng)該不斷健全,做到規(guī)范網(wǎng)民網(wǎng)絡(luò)行為,規(guī)范網(wǎng)絡(luò)信息與資源的管理制度,切實做到有法可依、有法必依、違法必究,同時要加強網(wǎng)絡(luò)用戶的法律意識建設(shè),使其知法、懂法、守法。總之,只有將網(wǎng)絡(luò)安全意識培養(yǎng)和技術(shù)的開發(fā)以及法制的不斷健全結(jié)合起來,才能為網(wǎng)絡(luò)用戶創(chuàng)造一個良好的網(wǎng)絡(luò)環(huán)境,減少網(wǎng)絡(luò)犯罪的發(fā)生。4.6影響網(wǎng)絡(luò)安全的主要因素計算機網(wǎng)絡(luò)所面臨的威脅是多方面的，既包括對網(wǎng)絡(luò)中信息的威脅，也包括對網(wǎng)絡(luò)中設(shè)備的威脅，但歸結(jié)起來，主要有三點：一是人為的無意失誤。如操作員安全配置不當(dāng)造成系統(tǒng)存在安全漏洞，用戶安全意識不強，口令選擇不慎，將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會給網(wǎng)絡(luò)安全帶來威脅。二是人為的惡意攻擊。這也是目前計算機網(wǎng)絡(luò)所面臨的最大威脅，比如敵手的攻擊和計算機犯罪都屬于這種情況，此類攻擊又可以分為兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機密數(shù)據(jù)的泄漏。三是網(wǎng)絡(luò)軟件的漏洞和“后門”。任何一款軟件都或多或少存在漏洞，這些缺陷和漏洞恰恰就是黑客進行攻擊的首選目標(biāo)。絕大部分網(wǎng)絡(luò)入侵事件都是因為安全措施不完善，沒有及時補上系統(tǒng)漏洞造成的。此外，軟件公司的編程人員為便于維護而設(shè)置的軟件“后門”也是不容忽視的巨大威脅，一旦“后門”洞開，別人就能隨意進入系統(tǒng)，后果不堪設(shè)想。計算機網(wǎng)絡(luò)被攻擊，主要有六種形式：內(nèi)部竊密和破壞。內(nèi)部人員有意或無意的泄密、更改記錄信息或者破壞網(wǎng)絡(luò)系統(tǒng)。②截收信息。攻擊者可能通過搭線或在電磁輻射的范圍內(nèi)安裝截收裝置等方式，截獲機密信息或通過對信息流和流向、通信頻度和長度等參數(shù)的分析，推出有用的信息。③非法訪問。指未經(jīng)授權(quán)使用網(wǎng)絡(luò)資源或以未授權(quán)的方式使用網(wǎng)絡(luò)資源,主要包括非法用戶進入網(wǎng)絡(luò)或系統(tǒng)進行違法操作和合法用戶以未授權(quán)的方式進行操作。④利用TCP/IP協(xié)議上的某些不安全因素。目前廣泛使用TCP/IP協(xié)議存在大量安全漏洞，如通過偽造數(shù)據(jù)包進行，指定源路由（源點可以指定信息包傳送到目的節(jié)點的中間路由）等方式，進行APR欺騙和IP欺騙攻擊。⑤病毒破壞。利用病毒占用帶寬，堵塞網(wǎng)絡(luò)，癱瘓服務(wù)器，造成系統(tǒng)崩潰或讓服務(wù)器充斥大量垃圾信息，導(dǎo)致數(shù)據(jù)性能降低。⑥其它網(wǎng)絡(luò)攻擊方式。包括破壞網(wǎng)絡(luò)系統(tǒng)的可用性，使合法用戶不能正常訪問網(wǎng)絡(luò)資源，拒絕服務(wù)甚至摧毀系統(tǒng)，破壞系統(tǒng)信息的完整性，還可能冒充主機欺騙合法用戶，非法占用系統(tǒng)資源等。4.7加強計算機網(wǎng)絡(luò)安全的對策措施（1）加強網(wǎng)絡(luò)安全教育和管理：對工作人員結(jié)合機房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個方面安全問題，進行安全教育，提高工作人員的安全觀念和責(zé)任心；加強業(yè)務(wù)、技術(shù)的培訓(xùn)，提高操作技能；教育工作人員嚴(yán)格遵守操作規(guī)程和各項保密規(guī)定，防止人為事故的發(fā)生。同時，要保護傳輸線路安全。對于傳輸線路，應(yīng)有露天保護措施或埋于地下，并要求遠離各種輻射源，以減少各種輻__射引起的數(shù)據(jù)錯誤；線纜鋪設(shè)應(yīng)當(dāng)盡可能使用光纖，以減少各種輻射引起的電磁泄漏和對發(fā)送線路的干擾。要定期檢查連接情況，以檢測是否有搭線竊聽、非法外連或破壞行為。（2）運用網(wǎng)絡(luò)加密技術(shù)：網(wǎng)絡(luò)信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種：eq\o\ac(○,1)鏈接加密。在網(wǎng)絡(luò)節(jié)點間加密，在節(jié)點間傳輸加密的信息，傳送到節(jié)點后解密，不同節(jié)點間用不同的密碼。eq\o\ac(○,2)節(jié)點加密。與鏈接加密類似，不同的只是當(dāng)數(shù)據(jù)在節(jié)點間傳送時，不用明碼格式傳送，而是用特殊的加密硬件進行解密和重加密，這種專用硬件通常放置在安全保險箱中。eq\o\ac(○,3)首尾加密。對進入網(wǎng)絡(luò)的數(shù)據(jù)加密，然后待數(shù)據(jù)從網(wǎng)絡(luò)傳送出后再進行解密。網(wǎng)絡(luò)的加密技術(shù)很多，在實際應(yīng)用中，人們通常根據(jù)各種加密算法結(jié)合在一起使用，這樣可以更加有效地加強網(wǎng)絡(luò)的完全性。網(wǎng)絡(luò)加密技術(shù)也是網(wǎng)絡(luò)安全最有效的技術(shù)之一。既可以對付惡意軟件攻擊，又可以防止非授權(quán)用戶的訪問。（3）加強計算機網(wǎng)絡(luò)訪問控制：訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問，也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。訪問控制技術(shù)主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點的安全控制。根據(jù)網(wǎng)絡(luò)安全的等級、網(wǎng)絡(luò)空間的環(huán)境不同，可靈活地設(shè)置訪問控制的種類和數(shù)量。（4）使用防火墻技術(shù)：采用防火墻技術(shù)是解決網(wǎng)絡(luò)安全問題的主要手段。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。防火墻是在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng)，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機制，并且本身具有較強的抗攻擊能力。在邏輯上，防火墻是一個分離器、限制器和分析器，可以有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻的應(yīng)用可最大限度地保障網(wǎng)絡(luò)的正常運行，它可以起著提高內(nèi)部網(wǎng)絡(luò)的安全性、強化網(wǎng)絡(luò)安全策略、防止內(nèi)部信息泄漏、網(wǎng)絡(luò)防毒、信息加密、存儲通信、授權(quán)、認證等重要作用。4.8網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)安全是一個綜合性的課題，涉及技術(shù)、管理、使用等諸多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施。因此，只有綜合采取多種防范措施，制定嚴(yán)格的保密政策和明晰的安全策略，才能完好、實時地保證信息的機密性、完整性和可用性，為網(wǎng)絡(luò)提供強大的安全保證。（1）WBM技術(shù)介紹隨著應(yīng)用Intranet的企業(yè)的增多，同時Internet技術(shù)逐漸向Intranet的遷移，一些主要的網(wǎng)絡(luò)廠商正試圖以一種新的形式去應(yīng)用MIS。因此就促使了Web(Web-BasedManagement)網(wǎng)管技術(shù)的產(chǎn)生[2]。它作為一種全新的網(wǎng)絡(luò)管理模式—基于Web的網(wǎng)絡(luò)管理模式，從出現(xiàn)伊始就表現(xiàn)出強大的生命力，以其特有的靈活性、易操作性等特點贏得了許多技術(shù)專家和用戶的青睞，被譽為是“將改變用戶網(wǎng)絡(luò)管理方式的革命性網(wǎng)絡(luò)管理解決方案”。WBM融合了Web功能與網(wǎng)管技術(shù)，從而為網(wǎng)管人員提供了比傳統(tǒng)工具更強有力的能力。WBM可以允許網(wǎng)絡(luò)管理人員使用任何一種Web瀏覽器，在網(wǎng)絡(luò)任何節(jié)點上方便迅速地配置、控制以及存取網(wǎng)絡(luò)和它的各個部分。因此，他們不再只拘泥于網(wǎng)管工作站上了，并且由此能夠解決很多由于多平臺結(jié)構(gòu)產(chǎn)生的互操作性問題。WBM提供比傳統(tǒng)的命令驅(qū)動的遠程登錄屏幕更直接、更易用的圖形界面，瀏覽器操作和Web頁面對WWW用戶來講是非常熟悉的，所以WBM的結(jié)果必然是既降低了MIS全體培訓(xùn)的費用又促進了更多的用戶去利用網(wǎng)絡(luò)運行狀態(tài)信息。所以說，WBM是網(wǎng)絡(luò)管理方案的一次革命。（2）基于WBM技術(shù)的網(wǎng)管系統(tǒng)設(shè)計eq\o\ac(○,1)系統(tǒng)的設(shè)計目標(biāo)在本系統(tǒng)設(shè)計階段，就定下以開發(fā)基于園區(qū)網(wǎng)、Web模式的具有自主版權(quán)的中文網(wǎng)絡(luò)管理系統(tǒng)軟件為目標(biāo)，采用先進的WBM技術(shù)和高效的算法，力求在性能上可以達到國外同類產(chǎn)品的水平。本網(wǎng)管系統(tǒng)提供基于WEB的整套網(wǎng)管解決方案。它針對分布式IP網(wǎng)絡(luò)進行有效資源管理，使用戶可以從任何地方通過WEB瀏覽器對網(wǎng)絡(luò)和設(shè)備，以及相關(guān)系統(tǒng)和服務(wù)實施應(yīng)變式管理和控制，從而保證網(wǎng)絡(luò)上的資源處于最佳運行狀態(tài)，并保持網(wǎng)絡(luò)的可用性和可靠性。eq\o\ac(○,2)系統(tǒng)的體系結(jié)構(gòu)在系統(tǒng)設(shè)計的時候，以