計(jì)算機(jī)網(wǎng)絡(luò)安全管理論文 洪宇濤

摘要PAGEPAGEI摘要計(jì)算機(jī)網(wǎng)絡(luò)飛速發(fā)展的同時(shí)，安全問題不容忽視。網(wǎng)絡(luò)安全經(jīng)過了二十多年的發(fā)展，已經(jīng)發(fā)展成為一個(gè)跨多門學(xué)科的綜合性科學(xué)，它包括：通信技術(shù)、網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)軟件、硬件設(shè)計(jì)技術(shù)、密碼學(xué)、網(wǎng)絡(luò)安全與計(jì)算機(jī)安全技術(shù)等。在理論上，網(wǎng)絡(luò)安全是建立在密碼學(xué)以及網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)上的。密碼學(xué)是網(wǎng)絡(luò)安全的核心，利用密碼技術(shù)對信息進(jìn)行加密傳輸、加密存儲(chǔ)、數(shù)據(jù)完整性鑒別、用戶身份鑒別等，比傳統(tǒng)意義上簡單的存取控制和授權(quán)等技術(shù)更可靠。加密算法是一些公式和法則，它規(guī)定了明文和密文之間的變換方法。由于加密算法的公開化和解密技術(shù)的發(fā)展，加上發(fā)達(dá)國家對關(guān)鍵加密算法的出口限制，各個(gè)國家正不斷致力于開發(fā)和設(shè)計(jì)新的加密算法和加密機(jī)制。從技術(shù)上，網(wǎng)絡(luò)安全取決于兩個(gè)方面：網(wǎng)絡(luò)設(shè)備的硬件和軟件。網(wǎng)絡(luò)安全則由網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合來實(shí)現(xiàn)的。但是，由于網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)對其上的信息提供的一種增值服務(wù)，人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡(luò)的瓶頸，因此，將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實(shí)現(xiàn)，實(shí)現(xiàn)線速的安全處理仍然將是網(wǎng)絡(luò)安全發(fā)展的一個(gè)主要方向。在安全技術(shù)不斷發(fā)展的同時(shí)，全面加強(qiáng)安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個(gè)重要內(nèi)容。因?yàn)榧词褂辛司W(wǎng)絡(luò)安全的理論基礎(chǔ)，沒有對網(wǎng)絡(luò)安全的深刻認(rèn)識、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中，那么談再多的網(wǎng)絡(luò)安全也是無用的。同時(shí)，網(wǎng)絡(luò)安全不僅僅是防火墻，也不是防病毒、入侵監(jiān)測、防火墻、身份認(rèn)證、加密等產(chǎn)品的簡單堆砌，而是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機(jī)結(jié)合?？傊?，網(wǎng)絡(luò)在今后的發(fā)展過程中不再僅僅是一個(gè)工具，也不再是一個(gè)遙不可及僅供少數(shù)人使用的技術(shù)專利，它將成為一種文化、一種生活融入到社會(huì)的各個(gè)領(lǐng)域。關(guān)鍵詞：計(jì)算機(jī)；網(wǎng)絡(luò)；安全；防范目錄

ABSTRACTAtthesametimetherapiddevelopmentofcomputernetworksecurityissuescannotbeignored.NetworkSecurityAftertwentyyearsofdevelopment,hasdevelopedintoanintegratedacrossmultiplescientificdisciplines,whichinclude:communicationtechnology,networktechnology,computersoftwareandhardwaredesigntechnology,cryptography,networksecurityandcomputersecuritytechnology.Intheory,thenetworksecurityisbasedoncryptographyandnetworksecurityprotocolson.Cryptographyisthecoreofnetworksecurity,theuseofcryptographytoencrypttheinformationtransmitted,encryptedstorage,dataintegrity,identification,userauthentication,etc.,simpleaccessthanthetraditionalsenseofcontrolandauthorizationtechnologyismorereliable.Encryptionalgorithmsaresomeformulasandrules,whichdefinesthetransformationmethodbetweenplaintextandciphertext.Sincethedevelopmentofpublicencryptionalgorithmanddecryptiontechnology,coupledwithexportrestrictionsonkeyencryptionalgorithmdevelopedcountries,eachcountryisconstantlycommittedtothedevelopmentanddesignofnewencryptionalgorithmsandencryptionmechanisms.Technically,networksecuritydependsontwoaspects:networkequipmenthardwareandsoftware.Networksecurityfromnetworkequipmenthardwareandsoftwareco-ordinatedtoachieve.However,duetonetworksecurityasavalue-addedservicetoprovideinformationonitsnetwork,peopleoftenfindtheprocessingspeedofthesoftwarebecomethebottleneckofthenetwork,andtherefore,thenetworksecurityofcryptographicalgorithmsandsecurityprotocolsimplementedinhardwaretoachievewire-speedsafehandlingwillstillbeamaindirectionofdevelopmentofnetworksecurity.Whileevolvingsecuritytechnologies,strengthenapplicationsecuritytechnologyisanimportantpartofthedevelopmentofnetworksecurity.Becauseevenwiththetheoreticalfoundationofnetworksecurity,thereisnodeepunderstandingofnetworksecurity,thereisnowidelyapplyittothenetwork,thennoamountoftalkaboutnetworksecurityisuseless.Meanwhile,thenetworksecurityisnotjustafirewall,norisitasimpleanti-virus,intrusiondetection,firewall,authentication,encryption,andotherproductspilingup,butincludesfromthesystemtotheapplication,fromequipmenttoservicemorecomplete,systematicsafetycombinefamilyofproducts.Inshort,thenetworkinthefuturedevelopmentprocessisnolongerjustatool,itisnolongeradistantonlyafewpeopleusetechnologypatents,itwillbecomeaculture,awayoflifeintoallareasofsociety.Keywords:ComputerNetworkSecurityGuard目錄目錄第1章緒論 11.1計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展前景 11.2本章小結(jié) 2第2章計(jì)算機(jī)網(wǎng)絡(luò)安全概述 32.1計(jì)算機(jī)網(wǎng)絡(luò)安全的概念 32.2計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀 32.3本章小結(jié) 4第3章網(wǎng)絡(luò)安全的威脅因素 53.1網(wǎng)絡(luò)安全的威脅因素 53.2本章小結(jié) 5第4章幾種常用的網(wǎng)絡(luò)安全技術(shù) 74.1防火墻技術(shù) 74.1.1防火墻的主要功能 74.1.2防火墻的主要優(yōu)點(diǎn) 74.1.3防火墻的主要缺陷 84.1.4防火墻的分類 84.1.5防火墻的部署 94.2數(shù)據(jù)加密技術(shù) 104.3系統(tǒng)容災(zāi)技術(shù) 104.4入侵檢測技術(shù) 114.4.1入侵檢測系統(tǒng)的分類 114.4.2目前入侵檢測系統(tǒng)的缺陷 124.4.3防火墻與入侵檢測系統(tǒng)的相互聯(lián)動(dòng) 124.4.4結(jié)語 134.5漏洞掃描技術(shù) 134.6物理安全 134.7本章小結(jié) 14第5章結(jié)束語與展望 155.1論文總結(jié) 155.2工作展望 15致謝 17參考文獻(xiàn) 18第1章緒論1.1計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展前景未來將是一個(gè)網(wǎng)絡(luò)無處不在的世界，任何東西都可以進(jìn)行網(wǎng)絡(luò)互聯(lián)，我們可以在我們能夠達(dá)到的任何地方對我們想要了解的任何東西進(jìn)行搜索和遠(yuǎn)程控制。這是一個(gè)總體的宏偉設(shè)想。未來網(wǎng)絡(luò)通信的帶寬將會(huì)是我們現(xiàn)在想象不到的，未來上網(wǎng)應(yīng)該是不受時(shí)間、帶寬等限制的。我們可以隨心所欲，但不能為所欲為，那時(shí)候的控制機(jī)制應(yīng)該更合理，更強(qiáng)大。反正就是以我們現(xiàn)在的思維無法想象的到的。舉個(gè)簡單的例子：就像幾十年前計(jì)算機(jī)是一種很昂貴的東西，當(dāng)時(shí)的IBM老總曾預(yù)言過未來的世界有幾臺、十幾臺計(jì)算機(jī)就不錯(cuò)了，而發(fā)展到現(xiàn)在呢？好多人都有好幾臺個(gè)人計(jì)算機(jī)，而性能遠(yuǎn)遠(yuǎn)超過了那些古董級的計(jì)算機(jī)。我認(rèn)為未來網(wǎng)絡(luò)發(fā)展的主要方向應(yīng)該是向著以下幾個(gè)方向發(fā)展：1.網(wǎng)絡(luò)無處不在，任何東西都要連入互聯(lián)網(wǎng)，那時(shí)估計(jì)也沒有太多的網(wǎng)絡(luò)終端，只需要幾種集成的網(wǎng)絡(luò)終端即可，將各種功能集成到同一臺網(wǎng)絡(luò)終端上面，我們可以隨時(shí)隨地的無縫的接入互聯(lián)網(wǎng)。2.帶寬成本大大降低，上網(wǎng)將會(huì)是非常非常便宜的。但是網(wǎng)速就快的是我們無法想象的。3.安全問題一直是網(wǎng)絡(luò)的非常值得重視的問題，那時(shí)網(wǎng)絡(luò)的安全性應(yīng)該是可以做出保證的。4.近期網(wǎng)絡(luò)的發(fā)展應(yīng)該還是以無線網(wǎng)絡(luò)為重點(diǎn)，各種可移動(dòng)終端將會(huì)在未來幾年，甚至十幾年內(nèi)紅極一時(shí)。各種更方便，更可靠的服務(wù)也會(huì)應(yīng)運(yùn)而生。無線上網(wǎng)的帶寬會(huì)逐漸上去的，今年是第三代網(wǎng)絡(luò)(3G)開始高速發(fā)展的第一年，以后還會(huì)有4G、5G...NG。如果未來的某一天IPV6技術(shù)成熟了，我們使用的任何接入互聯(lián)網(wǎng)的終端設(shè)備都可以分配到一個(gè)IP地址，訪問該會(huì)是多么方便啊?？傊沂菍ξ磥砭W(wǎng)絡(luò)發(fā)展充滿了期待，我相信明天的網(wǎng)絡(luò)會(huì)更好，好到以我們現(xiàn)在的思維無法想象的到?。?！計(jì)算機(jī)網(wǎng)絡(luò)就是計(jì)算機(jī)之間通過連接介質(zhì)(如網(wǎng)絡(luò)線、光纖等)互聯(lián)起來，按照網(wǎng)絡(luò)協(xié)議進(jìn)行數(shù)據(jù)通信，實(shí)現(xiàn)資源共享的一種組織形式。計(jì)算機(jī)網(wǎng)絡(luò)是二十世紀(jì)60年代起源于美國，原本用于軍事通訊，后逐漸進(jìn)入民用，經(jīng)過短短40年不斷的發(fā)展和完善，現(xiàn)已廣泛應(yīng)用于各個(gè)領(lǐng)域，并正以高速向前邁進(jìn)。在不久的將來，我們將看到一個(gè)充滿虛擬性的新時(shí)代。在這個(gè)虛擬時(shí)代，人們的工作和生活方式都會(huì)極大地改變，那時(shí)我們將進(jìn)行虛擬旅行，讀虛擬大學(xué)，在虛擬辦公室里工作，進(jìn)行虛擬的駕車測試等。對計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的前景，我有如下看法：〔1〕全球因特網(wǎng)裝置之間的通信量將超過人與人之間的通信量。因特網(wǎng)將從一個(gè)單純的大型數(shù)據(jù)中心發(fā)展成為一個(gè)更加聰明的高智商網(wǎng)絡(luò)，將成為人與信息之間的高層調(diào)節(jié)者。其中的個(gè)人網(wǎng)站復(fù)制功能將不斷預(yù)期人們的信息需求和喜好，用戶將通過網(wǎng)站復(fù)制功能篩選網(wǎng)站，過濾掉與己無關(guān)的信息并將所需信息以最佳格式展現(xiàn)出來。同時(shí)，個(gè)人及企業(yè)將獲得大量個(gè)性化服務(wù)。這些服務(wù)將會(huì)由軟件設(shè)計(jì)人員在一個(gè)開放的平臺中實(shí)現(xiàn)。由軟件驅(qū)動(dòng)的智能網(wǎng)技術(shù)和無線技術(shù)將使網(wǎng)絡(luò)觸角伸向人們所能到達(dá)的任何角落，同時(shí)允許人們自行選擇接收信息的形式。〔2〕帶寬的成本將變得非常低廉，甚至可以忽略不計(jì)。隨著帶寬瓶頸的突破，未來網(wǎng)絡(luò)的收費(fèi)將來自服務(wù)而不是帶寬。交互性的服務(wù)，如節(jié)目聯(lián)網(wǎng)的視頻游戲、電子報(bào)紙和雜志等服務(wù)將會(huì)成為未來網(wǎng)絡(luò)價(jià)值的主體?！?〕在不久的未來，無線網(wǎng)絡(luò)將更加普及，其中cnet:短距無線網(wǎng)絡(luò)前景看俏。短距無線通訊標(biāo)準(zhǔn)Zigbee與超寬頻UWB（Ultrawideband）即將制訂完成，未來將與藍(lán)芽（Bluetooth）共同建構(gòu)短距離無線網(wǎng)絡(luò)環(huán)境，包括藍(lán)芽、Zigbee與UWB等相關(guān)產(chǎn)品出貨量都將大幅成長。隨著電子電機(jī)工程師協(xié)會(huì)（IEEE）推出802.15個(gè)人局域網(wǎng)絡(luò)（WPAN）標(biāo)準(zhǔn)后，新一代的短距離無線通訊發(fā)展趨勢逐漸確定，除了藍(lán)芽（802.15.1）外，Zigbee（802.15.4）與UWB（802.15.3a）標(biāo)準(zhǔn)也將于今年或明年初陸續(xù)通過，未來Zigbee與UWB將以各自不同特性，如速度、價(jià)格等切入短距離無線網(wǎng)絡(luò)環(huán)境?！?〕計(jì)算機(jī)網(wǎng)絡(luò)飛速發(fā)展的同時(shí)，安全問題不容忽視。網(wǎng)絡(luò)安全經(jīng)過了二十多年的發(fā)展，已經(jīng)發(fā)展成為一個(gè)跨多門學(xué)科的綜合性科學(xué)，它包括：通信技術(shù)、網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)軟件、硬件設(shè)計(jì)技術(shù)、密碼學(xué)、網(wǎng)絡(luò)安全與計(jì)算機(jī)安全技術(shù)等。（5）在理論上，網(wǎng)絡(luò)安全是建立在密碼學(xué)以及網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)上的。密碼學(xué)是網(wǎng)絡(luò)安全的核心，利用密碼技術(shù)對信息進(jìn)行加密傳輸、加密存儲(chǔ)、數(shù)據(jù)完整性鑒別、用戶身份鑒別等，比傳統(tǒng)意義上簡單的存取控制和授權(quán)等技術(shù)更可靠。加密算法是一些公式和法則，它規(guī)定了明文和密文之間的變換方法。由于加密算法的公開化和解密技術(shù)的發(fā)展，加上發(fā)達(dá)國家對關(guān)鍵加密算法的出口限制，各個(gè)國家正不斷致力于開發(fā)和設(shè)計(jì)新的加密算法和加密機(jī)制。（6）從技術(shù)上，網(wǎng)絡(luò)安全取決于兩個(gè)方面：網(wǎng)絡(luò)設(shè)備的硬件和軟件。網(wǎng)絡(luò)安全則由網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合來實(shí)現(xiàn)的。但是，由于網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)對其上的信息提供的一種增值服務(wù)，人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡(luò)的瓶頸，因此，將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實(shí)現(xiàn)，實(shí)現(xiàn)線速的安全處理仍然將是網(wǎng)絡(luò)安全發(fā)展的一個(gè)主要方向。（7）在安全技術(shù)不斷發(fā)展的同時(shí)，全面加強(qiáng)安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個(gè)重要內(nèi)容。因?yàn)榧词褂辛司W(wǎng)絡(luò)安全的理論基礎(chǔ)，沒有對網(wǎng)絡(luò)安全的深刻認(rèn)識、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中，那么談再多的網(wǎng)絡(luò)安全也是無用的。同時(shí)，網(wǎng)絡(luò)安全不僅僅是防火墻，也不是防病毒、入侵監(jiān)測、防火墻、身份認(rèn)證、加密等產(chǎn)品的簡單堆砌，而是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機(jī)結(jié)合?？傊?，網(wǎng)絡(luò)在今后的發(fā)展過程中不再僅僅是一個(gè)工具，也不再是一個(gè)遙不可及僅供少數(shù)人使用的技術(shù)專利，它將成為一種文化、一種生活融入到社會(huì)的各個(gè)領(lǐng)域。1.2本章小結(jié)網(wǎng)絡(luò)安全性問題關(guān)系到未來網(wǎng)絡(luò)應(yīng)用的深入發(fā)展，它涉及安全策略、移動(dòng)代碼、指令保護(hù)、密碼學(xué)、操作系統(tǒng)、軟件工程和網(wǎng)絡(luò)安全管理等內(nèi)容。一般專用的內(nèi)部網(wǎng)與公用的互聯(lián)網(wǎng)的隔離主要使用“防火墻”技術(shù)。計(jì)算機(jī)網(wǎng)絡(luò)經(jīng)過40多年不斷發(fā)展和完善，現(xiàn)在正以高速的發(fā)展方向邁進(jìn)。全球的因特網(wǎng)裝置之間的通信量將超過人與人之間的通信量，因特網(wǎng)將從一個(gè)單純的大型數(shù)據(jù)中心發(fā)展成為一個(gè)高智商網(wǎng)絡(luò)，將成為人與信息之間的高層調(diào)節(jié)者。帶寬的成本將會(huì)變得非常低，甚至忽略不計(jì)。在不久的將來，無線網(wǎng)絡(luò)將更加普及，尤其短距無線網(wǎng)絡(luò)的前景更大。在計(jì)算機(jī)網(wǎng)絡(luò)飛速發(fā)展的同時(shí)，網(wǎng)絡(luò)安全問題也更加突出，因此各國正不斷致力于開發(fā)和設(shè)計(jì)新的加密算法加密機(jī)制，加強(qiáng)安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)發(fā)展的一個(gè)重要內(nèi)容?？傊?jì)算機(jī)網(wǎng)絡(luò)在今后的發(fā)展中范圍更廣、潛力更大，將會(huì)融入到社會(huì)各個(gè)領(lǐng)域。第2章計(jì)算機(jī)網(wǎng)絡(luò)安全概述2.1計(jì)算機(jī)網(wǎng)絡(luò)安全的概念國際標(biāo)準(zhǔn)化組織將“計(jì)算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。從普通使用者的角度來說，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。2.2計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀計(jì)算機(jī)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計(jì)算機(jī)和網(wǎng)絡(luò)安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了計(jì)算機(jī)病毒的種類，而且許多攻擊都是致命的。在Internet網(wǎng)絡(luò)上，因互聯(lián)網(wǎng)本身沒有時(shí)空和地域的限制，每當(dāng)有一種新的攻擊手段產(chǎn)生，就能在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進(jìn)行攻擊從而造成計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)癱瘓。蠕蟲、后門(Back-doors)、Rootkits、DOS(DenialofServices)和Sniffer(網(wǎng)路監(jiān)聽)是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力，時(shí)至今日，有愈演愈烈之勢。這幾類攻擊手段的新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化，攻擊目標(biāo)直指互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次。從Web程序的控制程序到內(nèi)核級Rootlets。黑客的攻擊手法不斷升級翻新，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。系統(tǒng)安全運(yùn)行系統(tǒng)安全即保證信息處理和傳輸系統(tǒng)的安全。它側(cè)重于保證系統(tǒng)正常運(yùn)行。避免因?yàn)橄到y(tǒng)的崩演和損壞而對系統(tǒng)存儲(chǔ)、處理和傳輸?shù)南⒃斐善茐暮蛽p失。避免由于電磁泄翻，產(chǎn)生信息泄露，干擾他人或受他人干擾。網(wǎng)絡(luò)的安全網(wǎng)絡(luò)上系統(tǒng)信息的安全。包括用戶口令鑒別，用戶存取權(quán)限控制，數(shù)據(jù)存取權(quán)限、方式控制，安全審計(jì)。安全問題跟踩。計(jì)算機(jī)病毒防治，數(shù)據(jù)加密等。信息傳播安全網(wǎng)絡(luò)上信息傳播安全，即信息傳播后果的安全，包括信息過濾等。它側(cè)重于防止和控制由非法、有害的信息進(jìn)行傳播所產(chǎn)生的后果，避免公用網(wǎng)絡(luò)上大云自由傳翰的信息失控。信息內(nèi)容安全網(wǎng)絡(luò)上信息內(nèi)容的安全。它側(cè)重于保護(hù)信息的保密性、真實(shí)性和完整性。避免攻擊者利用系統(tǒng)的安全漏潤進(jìn)行竊聽、冒充、詐編等有損于合法用戶的行為。其本質(zhì)是保護(hù)用戶的利益和隱私。2.3本章小結(jié)本章主要介紹了計(jì)算機(jī)網(wǎng)絡(luò)安全的概念及概念所包含的內(nèi)容，以及各內(nèi)容的具體含義。計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)因使用者的不同而變化，不同的使用者，對計(jì)算機(jī)網(wǎng)絡(luò)的認(rèn)識和要求也不同。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使計(jì)算機(jī)網(wǎng)絡(luò)安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了病毒的種類，而且許多攻擊都是致命的。由于互聯(lián)網(wǎng)本身的性質(zhì)沒有失控和地域的限制，每種新攻擊手段在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進(jìn)行攻擊導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)及系統(tǒng)癱瘓。變種新出現(xiàn)的攻擊方法更具智能化，攻擊目標(biāo)直接指向互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次，而且黑客手段不斷升級翻新，因此，計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大挑戰(zhàn)。第3章網(wǎng)絡(luò)安全的威脅因素3.1網(wǎng)絡(luò)安全的威脅因素歸納起來，針對網(wǎng)絡(luò)安全的威脅主要有:軟件漏洞、配置不當(dāng)、安全意識不強(qiáng)、病毒、黑客攻擊等?！?〕軟件漏洞：每一個(gè)操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這就使我們的計(jì)算機(jī)處于危險(xiǎn)的境地，一旦連接入網(wǎng)，將成為眾矢之的?！?〕配置不當(dāng):安全配置不當(dāng)造成安全漏洞，例如，防火墻軟件的配置不正確，那么它根本不起作用。對特定的網(wǎng)絡(luò)應(yīng)用程序，當(dāng)它啟動(dòng)時(shí)，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應(yīng)用軟件也會(huì)被啟用。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置，否則，安全隱患始終存在?！?〕安全意識不強(qiáng):用戶口令選擇不慎，或?qū)⒆约旱膸ぬ栯S意轉(zhuǎn)借他人或與別人共享等都會(huì)對網(wǎng)絡(luò)安全帶來威脅?！?〕病毒:目前數(shù)據(jù)安全的頭號大敵是計(jì)算機(jī)病毒，它是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù)，影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點(diǎn)。因此，提高對病毒的防范刻不容緩?！?〕黑客攻擊:對于計(jì)算機(jī)數(shù)據(jù)安全構(gòu)成威脅的另一個(gè)方面是來自電腦黑客(backer)。電腦黑客利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計(jì)算機(jī)系統(tǒng)，其危害性非常大。從某種意義上講，黑客對信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。（6）影響歸納自然災(zāi)害、意外事故；計(jì)算機(jī)犯罪；人為行為，比如使用不當(dāng)，安全意識差等；黑客”行為：由于黑客的入侵或侵?jǐn)_，比如非法訪問、拒絕服務(wù)計(jì)算機(jī)病毒、非法連接等；內(nèi)部泄密；外部泄密；信息丟失；電子諜報(bào)，比如信息流量分析、信息竊取等；網(wǎng)絡(luò)協(xié)議中的缺陷，例如TCP/IP協(xié)議的安全問題等等。網(wǎng)絡(luò)安全威脅主要包括兩類：滲入威脅和植入威脅。滲入威脅主要有：假冒、旁路控制、授權(quán)侵犯；植入威脅主要有：特洛伊木馬、陷門。陷門：將某一“特征”設(shè)立于某個(gè)系統(tǒng)或系統(tǒng)部件之中，使得在提供特定的輸入數(shù)據(jù)時(shí)，允許安全策略被違反。目前我國網(wǎng)絡(luò)安全存在幾大隱患：影響網(wǎng)絡(luò)安全性的因素主要有以下幾個(gè)方面。（7）網(wǎng)絡(luò)結(jié)構(gòu)因素網(wǎng)絡(luò)基本拓?fù)浣Y(jié)構(gòu)有3種：星型、總線型和環(huán)型。一個(gè)單位在建立自己的內(nèi)部網(wǎng)之前，各部門可能已建造了自己的局域網(wǎng)，所采用的拓?fù)浣Y(jié)構(gòu)也可能完全不同。在建造內(nèi)部網(wǎng)時(shí)，為了實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)間信息的通信，往往要犧牲一些安全機(jī)制的設(shè)置和實(shí)現(xiàn)，從而提出更高的網(wǎng)絡(luò)開放性要求。（8）網(wǎng)絡(luò)協(xié)議因素在建造內(nèi)部網(wǎng)時(shí)，用戶為了節(jié)省開支，必然會(huì)保護(hù)原有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。另外，網(wǎng)絡(luò)公司為生存的需要，對網(wǎng)絡(luò)協(xié)議的兼容性要求越來越高，使眾多廠商的協(xié)議能互聯(lián)、兼容和相互通信。這在給用戶和廠商帶來利益的同時(shí)，也帶來了安全隱患。如在一種協(xié)議下傳送的有害程序能很快傳遍整個(gè)網(wǎng)絡(luò)。地域因素由于內(nèi)部網(wǎng)Intranet既可以是LAN也可能是WAN(內(nèi)部網(wǎng)指的是它不是一個(gè)公用網(wǎng)絡(luò)，而是一個(gè)專用網(wǎng)絡(luò))，網(wǎng)絡(luò)往往跨越城際，甚至國際。地理位置復(fù)雜，通信線路質(zhì)量難以保證，這會(huì)造成信息在傳輸過程中的損壞和丟失，也給一些“黑客”造成可乘之機(jī)。（9）用戶因素企業(yè)建造自己的內(nèi)部網(wǎng)是為了加快信息交流，更好地適應(yīng)市場需求。建立之后，用戶的范圍必將從企業(yè)員工擴(kuò)大到客戶和想了解企業(yè)情況的人。用戶的增加，也給網(wǎng)絡(luò)的安全性帶來了威脅，因?yàn)檫@里可能就有商業(yè)間諜或“黑客。”（10）主機(jī)因素建立內(nèi)部網(wǎng)時(shí)，使原來的各局域網(wǎng)、單機(jī)互聯(lián)，增加了主機(jī)的種類，如工作站、服務(wù)器，甚至小型機(jī)、大中型機(jī)。由于它們所使用的操作系統(tǒng)和網(wǎng)絡(luò)操作系統(tǒng)不盡相同，某個(gè)操作系統(tǒng)出現(xiàn)漏洞(如某些系統(tǒng)有一個(gè)或幾個(gè)沒有口令的賬戶)，就可能造成整個(gè)網(wǎng)絡(luò)的大隱患。（11）單位安全政策實(shí)踐證明，80%的安全問題是由網(wǎng)絡(luò)內(nèi)部引起的，因此，單位對自己內(nèi)部網(wǎng)的安全性要有高度的重視，必須制訂出一套安全管理的規(guī)章制度。（12）人員因素人的因素是安全問題的薄弱環(huán)節(jié)。要對用戶進(jìn)行必要的安全教育，選擇有較高職業(yè)道德修養(yǎng)的人做網(wǎng)絡(luò)管理員，制訂出具體措施，提高安全意識。（13）其他其他因素如自然災(zāi)害等，也是影響網(wǎng)絡(luò)安全的因素3.2本章小結(jié)目前，針對網(wǎng)絡(luò)安全的威脅因素歸納為以下幾點(diǎn)：軟件漏洞、配置不當(dāng)、安全意識不強(qiáng)、病毒、黑客攻擊、由于用戶的操作不當(dāng)?shù)?。軟件漏洞是每一個(gè)系統(tǒng)或網(wǎng)絡(luò)軟件不可避免的，安全漏洞是由于安全配置不當(dāng)而造成。用戶口令選擇不慎或?qū)⒆约旱馁~號隨意轉(zhuǎn)借他人或與他人共享帶來網(wǎng)絡(luò)安全問題，這是由于安全意識不強(qiáng)；病毒已成為數(shù)據(jù)安全的頭號大敵，而且其具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點(diǎn)；威脅計(jì)算機(jī)數(shù)據(jù)安全的另一方面來自電腦黑客，其危害性非常大，尤其在信息安全方面危害甚至比一般電腦病毒更為嚴(yán)重。

第4章幾種常用的網(wǎng)絡(luò)安全技術(shù)4.1防火墻技術(shù)網(wǎng)絡(luò)安全所說的防火墻(FireWall)是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點(diǎn)上。所有來自Internet（外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻。4.1.1防火墻的主要功能防火墻的主要功能包括：〔1〕防火墻可以對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，從而過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行?！?〕防火墻可以關(guān)閉不使用的端口，而且它還能禁止特定端口的輸出信息?！?〕防火墻可以禁止來自特殊站點(diǎn)的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務(wù)和控制非法用戶對網(wǎng)絡(luò)的訪問?！?〕防火墻可以控制網(wǎng)絡(luò)內(nèi)部人員對Internet上特殊站點(diǎn)的訪問?！?〕防火墻提供了監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。4.1.2防火墻的主要優(yōu)點(diǎn)防火墻的主要優(yōu)點(diǎn)包括:〔1〕可作為網(wǎng)絡(luò)安全策略的焦點(diǎn)防火墻可作為網(wǎng)絡(luò)通信的阻塞點(diǎn)。所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過防火墻。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來，將承擔(dān)風(fēng)險(xiǎn)的范圍從整個(gè)內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺或幾臺主機(jī)上。從而在結(jié)構(gòu)上形成了一個(gè)控制中心，極大地加強(qiáng)了網(wǎng)絡(luò)安全，并簡化了網(wǎng)絡(luò)管理。〔2〕可以有效記錄網(wǎng)絡(luò)活動(dòng)由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間，即所有傳輸?shù)男畔⒍紩?huì)穿過防火墻。所以，防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息，提供監(jiān)視、管理與審計(jì)網(wǎng)絡(luò)的使用和預(yù)警功能?！?〕為解決IP地址危機(jī)提供了可行方案

由于Internet的日益發(fā)展及IP地址空間有限，使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。4.1.3防火墻的主要缺陷由于互聯(lián)網(wǎng)的開放性，防火墻也有一些弱點(diǎn)，使它不能完全保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有：〔1〕防火墻對繞過它的攻擊行為無能為力?！?〕防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對于病毒只能安裝反病毒軟件?！?〕防火墻需要有特殊的較為封閉的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來支持。網(wǎng)絡(luò)安全性的提高往往是以犧牲網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價(jià)。4.1.4防火墻的分類防火墻的實(shí)現(xiàn)從層次上大體可分為三類：包過濾防火墻，代理防火墻和復(fù)合型防火墻。

〔1〕包過濾防火墻包過濾防火墻是在IP層實(shí)現(xiàn)，它可以只用路由器來實(shí)現(xiàn)。包過濾防火墻根據(jù)報(bào)文的源IP地址，目的IP地址、源端口、目的端口和報(bào)文傳遞方向等報(bào)頭信息來判斷是否允許有報(bào)文通過。包過濾路由器的最大優(yōu)點(diǎn)是：對用戶來說是透明的，即不需要用戶名和密碼來登陸。

包過濾路由器的弊端是明顯的，由于它通常沒有用戶的使用記錄，我們不能從訪問中發(fā)現(xiàn)黑客的攻擊記錄。它還有一個(gè)致命的弱點(diǎn)，就是不能在用戶級別上進(jìn)行過濾，即不能識別用戶與防止IP地址的盜用。如果攻擊者將自己的主機(jī)設(shè)置為一個(gè)合法主機(jī)的IP地址，則很容易地通過包過濾防火墻?！?〕代理防火墻

代理防火墻也叫應(yīng)用層網(wǎng)關(guān)防火墻，包過濾防火墻可以按照IP地址來禁止未授權(quán)者的訪問。但它不適合單位用來控制內(nèi)部人員訪問外部網(wǎng)絡(luò)，對于這樣的企業(yè)，應(yīng)用代理防火墻是更好的選擇。代理服務(wù)是設(shè)置在Internet防火墻網(wǎng)關(guān)上的應(yīng)用，是在網(wǎng)管員允許下或拒絕的特定的應(yīng)用程序或者特定服務(wù)，一般情況下可應(yīng)用于特定的互聯(lián)網(wǎng)服務(wù)，如超文本傳輸、遠(yuǎn)程文件傳輸?shù)?。同時(shí)還可應(yīng)用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。應(yīng)用層網(wǎng)關(guān)包括應(yīng)用代理服務(wù)器、回路級代理服務(wù)器、代管服務(wù)器、IP通道、網(wǎng)絡(luò)地址轉(zhuǎn)換器、隔離域名服務(wù)器和郵件技術(shù)等。〔3〕復(fù)合型防火墻

復(fù)合型防火墻是將數(shù)據(jù)包過濾和代理服務(wù)結(jié)合在一起使用，從而實(shí)現(xiàn)了網(wǎng)絡(luò)安全性、性能和透明度的優(yōu)勢互補(bǔ)。隨著技術(shù)的發(fā)展，防火墻產(chǎn)品還在不斷完善、發(fā)展。目前出現(xiàn)的新技術(shù)類型主要有以下幾種：狀態(tài)監(jiān)視技術(shù)、安全操作系統(tǒng)、自適應(yīng)代理技術(shù)、實(shí)時(shí)侵入檢測系統(tǒng)等?；旌鲜褂脭?shù)據(jù)包過濾技術(shù)、代理服務(wù)技術(shù)和一些新技術(shù)是未來防火墻的趨勢。4.1.5防火墻的部署防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備，只有在關(guān)鍵網(wǎng)絡(luò)流量通過防火墻的時(shí)候，防火墻才能對此實(shí)行檢查，防護(hù)功能?！?〕防火墻的位置一般是內(nèi)網(wǎng)與外網(wǎng)的接合處，用來阻止來自外部網(wǎng)絡(luò)的入侵?！?〕如果內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置虛擬局域網(wǎng)（VLAN），則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻?！?〕通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間應(yīng)該設(shè)置防火墻?！?〕主干交換機(jī)至服務(wù)器區(qū)域工作組交換機(jī)的骨干鏈路上?！?〕遠(yuǎn)程撥號服務(wù)器與骨干交換機(jī)或路由器之間。總之，在網(wǎng)絡(luò)拓?fù)渖?，防火墻?yīng)當(dāng)處在網(wǎng)絡(luò)的出口與不同安全等級區(qū)域的結(jié)合處。安裝防火墻的原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)還是外部網(wǎng)的連接處都應(yīng)安裝防火墻。防火墻技術(shù)是指網(wǎng)絡(luò)之間通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制的安全應(yīng)用措施。它對兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。由于它簡單實(shí)用且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下，達(dá)到一定的安全要求，所以被廣泛使用。據(jù)預(yù)測近5年世界防火墻需求的年增長率將達(dá)到174%。目前，市場上防火墻產(chǎn)品很多，一些廠商還把防火墻技術(shù)并入其硬件產(chǎn)品中，即在其硬件產(chǎn)品中采取功能更加先進(jìn)的安全防范機(jī)制。可以預(yù)見防火墻技術(shù)作為一種簡單實(shí)用的網(wǎng)絡(luò)信息安全技術(shù)將得到進(jìn)一步發(fā)展。然而，防火墻也并非人們想象的那樣不可滲透。在過去的統(tǒng)計(jì)中曾遭受過黑客入侵的網(wǎng)絡(luò)用戶有三分之一是有防火墻保護(hù)的，也就是說要保證網(wǎng)絡(luò)信息的安全還必須有其他一系列措施，例如對數(shù)據(jù)進(jìn)行加密處理。需要說明的是防火墻只能抵御來自外部網(wǎng)絡(luò)的侵?jǐn)_，而對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全卻無能為力。要保證企業(yè)內(nèi)部網(wǎng)的安全，還需通過對內(nèi)部網(wǎng)絡(luò)的有效控制和管理來實(shí)現(xiàn)。4.2數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)就是對信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息、的真實(shí)內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術(shù)4種。數(shù)據(jù)存儲(chǔ)加密技術(shù)是以防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲(chǔ)和存取控制兩種;數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密，常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術(shù)的目的是對介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證，達(dá)到保密的要求，系統(tǒng)通過對比驗(yàn)證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對數(shù)據(jù)的安全保護(hù)。數(shù)據(jù)加密在許多場合集中表現(xiàn)為密匙的應(yīng)用，密匙管理技術(shù)事實(shí)上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。數(shù)據(jù)加密技術(shù)主要是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性，能夠有效地防止機(jī)密信息的泄漏。另外，它也廣泛地被應(yīng)用于信息鑒別、數(shù)字簽名等技術(shù)中，用來防止電子欺騙，這對信息處理系統(tǒng)的安全起到極其重要的作用。4.3系統(tǒng)容災(zāi)技術(shù)一個(gè)完整的網(wǎng)絡(luò)安全體系，只有防范和檢測措施是不夠的，還必須具有災(zāi)難容忍和系統(tǒng)恢復(fù)能力。因?yàn)槿魏我环N網(wǎng)絡(luò)安全設(shè)施都不可能做到萬無一失，一旦發(fā)生漏防漏檢事件，其后果將是災(zāi)難性的。此外，天災(zāi)人禍、不可抗力等所導(dǎo)致的事故也會(huì)對信息系統(tǒng)造成毀滅性的破壞。這就要求即使發(fā)生系統(tǒng)災(zāi)難，也能快速地恢復(fù)系統(tǒng)和數(shù)據(jù)，才能完整地保護(hù)網(wǎng)絡(luò)信息系統(tǒng)的安全?，F(xiàn)階段主要有基于數(shù)據(jù)備份和基于系統(tǒng)容錯(cuò)的系統(tǒng)容災(zāi)技術(shù)。數(shù)據(jù)備份是數(shù)據(jù)保護(hù)的最后屏障，不允許有任何閃失。但離線介質(zhì)不能保證安全。數(shù)據(jù)容災(zāi)通過IP容災(zāi)技術(shù)來保證數(shù)據(jù)的安全。數(shù)據(jù)容災(zāi)使用兩個(gè)存儲(chǔ)器，在兩者之間建立復(fù)制關(guān)系，一個(gè)放在本地，另一個(gè)放在異地。本地存儲(chǔ)器供本地備份系統(tǒng)使用，異地容災(zāi)備份存儲(chǔ)器實(shí)時(shí)復(fù)制本地備份存儲(chǔ)器的關(guān)鍵數(shù)據(jù)。二者通過IP相連，構(gòu)成完整的數(shù)據(jù)容災(zāi)系統(tǒng)，也能提供數(shù)據(jù)庫容災(zāi)功能。集群技術(shù)是一種系統(tǒng)級的系統(tǒng)容錯(cuò)技術(shù)，通過對系統(tǒng)的整體冗余和容錯(cuò)來解決系統(tǒng)任何部件失效而引起的系統(tǒng)死機(jī)和不可用問題。集群系統(tǒng)可以采用雙機(jī)熱備份、本地集群網(wǎng)絡(luò)和異地集群網(wǎng)絡(luò)等多種形式實(shí)現(xiàn)，分別提供不同的系統(tǒng)可用性和容災(zāi)性。其中異地集群網(wǎng)絡(luò)的容災(zāi)性是最好的。存儲(chǔ)、備份和容災(zāi)技術(shù)的充分結(jié)合，構(gòu)成的數(shù)據(jù)存儲(chǔ)系統(tǒng)，是數(shù)據(jù)技術(shù)發(fā)展的重要階段。隨著存儲(chǔ)網(wǎng)絡(luò)化時(shí)代的發(fā)展，傳統(tǒng)的功能單一的存儲(chǔ)器，將越來越讓位于一體化的多功能網(wǎng)絡(luò)存儲(chǔ)器。4.4入侵檢測技術(shù)

入侵檢測技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息（系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等），并對這些信息進(jìn)行分析和判斷。通過檢測網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為，入侵檢測系統(tǒng)可以及時(shí)發(fā)現(xiàn)攻擊或異常行為并進(jìn)行阻斷、記錄、報(bào)警等響應(yīng)，從而將攻擊行為帶來的破壞和影響降至最低。同時(shí)，入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、識別異常行為和攻擊行為（通過異常檢測和模式匹配等技術(shù)）、對攻擊行為或異常行為進(jìn)行響應(yīng)、審計(jì)和跟蹤等。典型的IDS系統(tǒng)模型包括4個(gè)功能部件：〔1〕事件產(chǎn)生器，提供事件記錄流的信息源。

〔2〕事件分析器，這是發(fā)現(xiàn)入侵跡象的分析引擎。

〔3〕響應(yīng)單元，這是基于分析引擎的分析結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件。

〔4〕事件數(shù)據(jù)庫，這是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。4.4.1入侵檢測系統(tǒng)的分類

入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)來源不同，可分為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機(jī)的入侵檢測系統(tǒng)。網(wǎng)絡(luò)型入侵檢測系統(tǒng)的實(shí)現(xiàn)方式是將某臺主機(jī)的網(wǎng)卡設(shè)置成混雜模式，監(jiān)聽本網(wǎng)段內(nèi)的所有數(shù)據(jù)包并進(jìn)行判斷或直接在路由設(shè)備上放置入侵檢測模塊。一般來說，網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)絡(luò)的任務(wù)。

主機(jī)型入侵檢測系統(tǒng)是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其它手段（如檢測系統(tǒng)調(diào)用）從所有的主機(jī)上收集信息進(jìn)行分析。

入侵檢測系統(tǒng)根據(jù)檢測的方法不同可分為兩大類：異常和誤用。

異常入侵檢測根據(jù)用戶的異常行為或?qū)Y源的異常存放來判斷是否發(fā)生了入侵事件。

誤用入侵檢測通過檢查對照已有的攻擊特征、定義攻擊模式、比較用戶的活動(dòng)來了解入侵。例如，著名的Internet蠕蟲事件是利用fingerd(FreeBSD)上的守護(hù)進(jìn)程，允許用戶遠(yuǎn)程讀取文件系統(tǒng)，因而存在可以查看文件內(nèi)容的漏洞和Sendmail(Linux上的守護(hù)進(jìn)程，利用其漏洞可取得root權(quán)限)的漏洞進(jìn)行攻擊。對這種攻擊可以使用這種檢測方法。4.4.2目前入侵檢測系統(tǒng)的缺陷

入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全防護(hù)的重要手段，目前的IDS還存在很多問題，有待于我們進(jìn)一步完善。

〔1〕高誤報(bào)率

誤報(bào)率主要存在于兩個(gè)方面：一方面是指正常請求誤認(rèn)為入侵行為；另一方面是指對IDS用戶不關(guān)心事件的報(bào)警。導(dǎo)致IDS產(chǎn)品高誤報(bào)率的原因是IDS檢測精度過低和用戶對誤報(bào)概念的不確定。

〔2〕缺乏主動(dòng)防御功能

入侵檢測技術(shù)作為一種被動(dòng)且功能有限的安全防御技術(shù)，缺乏主動(dòng)防御功能。因此，需要在一代IDS產(chǎn)品中加入主動(dòng)防御功能，才能變被動(dòng)為主動(dòng)。4.4.3防火墻與入侵檢測系統(tǒng)的相互聯(lián)動(dòng)

防火墻是一個(gè)跨接多個(gè)物理網(wǎng)段的網(wǎng)絡(luò)安全關(guān)口設(shè)備。它可以對所有流經(jīng)它的流量進(jìn)行各種各樣最直接的操作處理，如無通告拒絕、ICMP拒絕、轉(zhuǎn)發(fā)通過（可轉(zhuǎn)發(fā)至任何端口）、各以報(bào)頭檢查修改、各層報(bào)文內(nèi)容檢查修改、鏈路帶寬資源管理、流量統(tǒng)計(jì)、訪問日志、協(xié)議轉(zhuǎn)換等。

當(dāng)我們實(shí)現(xiàn)防火墻與入侵檢測系統(tǒng)的相互聯(lián)動(dòng)后，IDS就不必為它所連接的鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量。因此，IDS可以將大部分的系統(tǒng)資源用于對采集報(bào)文的分析，而這正是IDS最眩目的亮點(diǎn)。IDS可以有足夠的時(shí)間和資源做些有效的防御工作，如入侵活動(dòng)報(bào)警、不同業(yè)務(wù)類別的網(wǎng)絡(luò)流量統(tǒng)計(jì)、網(wǎng)絡(luò)多種流量協(xié)議恢復(fù)（實(shí)時(shí)監(jiān)控功能）等。IDS高智能的數(shù)據(jù)分析技術(shù)、詳盡的入侵知識描述庫可以提供比防火墻更為準(zhǔn)確、更嚴(yán)格、更全面的訪問行為審查功能。

綜上所述，防火墻與IDS在功能上可以形成互補(bǔ)關(guān)系。這樣的組合較以前單一的動(dòng)態(tài)技術(shù)或靜態(tài)技術(shù)都有了較大的提高。使網(wǎng)絡(luò)的防御安全能力大大提高。防火墻與IDS的相互聯(lián)動(dòng)可以很好地發(fā)揮兩者的優(yōu)點(diǎn)，淡化各自的缺陷，使防御系統(tǒng)成為一個(gè)更加堅(jiān)固的圍墻。在未來的網(wǎng)絡(luò)安全領(lǐng)域中，動(dòng)態(tài)技術(shù)與靜態(tài)技術(shù)的聯(lián)動(dòng)將有很大的發(fā)展市場和空間。4.4.4結(jié)語網(wǎng)絡(luò)安全是一個(gè)很大的系統(tǒng)工程，除了防火墻和入侵檢測系統(tǒng)之外，還包括反病毒技術(shù)和加密技術(shù)。反病毒技術(shù)是查找和清除計(jì)算機(jī)病毒技術(shù)。其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎。然后根據(jù)病毒特征碼數(shù)據(jù)庫來進(jìn)行對比式查殺。加密技術(shù)主要是隱藏信息、防止對信息篡改或防止非法使用信息而轉(zhuǎn)換數(shù)據(jù)的功能或方法。它是將數(shù)據(jù)信息轉(zhuǎn)換為一種不易解讀的模式來保護(hù)信息，除非有解密密鑰才能閱讀信息。加密技術(shù)包括算法和密鑰。算法是將普通的文本（或是可以理解的信息）與一串?dāng)?shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文的步驟。密鑰是用來對數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。在安全保密中，可通過適當(dāng)?shù)拿荑€加密技術(shù)和管理機(jī)制來保證網(wǎng)絡(luò)的信息通信安全。4.5漏洞掃描技術(shù)漏洞掃描是自動(dòng)檢測遠(yuǎn)端或本地主機(jī)安全的技術(shù)，它查詢TCP/IP各種服務(wù)的端口，并記錄目標(biāo)主機(jī)的響應(yīng)，收集關(guān)于某些特定項(xiàng)目的有用信息。這項(xiàng)技術(shù)的具體實(shí)現(xiàn)就是安全掃描程序。掃描程序可以在很短的時(shí)間內(nèi)查出現(xiàn)存的安全脆弱點(diǎn)。掃描程序開發(fā)者利用可得到的攻擊方法，并把它們集成到整個(gè)掃描中，掃描后以統(tǒng)計(jì)的格式輸出，便于參考和分析。4.6物理安全為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴(kuò)散。通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴(kuò)散出去的空間信號。為保證網(wǎng)絡(luò)的正常運(yùn)行，在物理安全方面應(yīng)采取如下措施:〔1〕產(chǎn)品保障方面:主要指產(chǎn)品采購、運(yùn)輸、安裝等方面的安全措施。〔2〕運(yùn)行安全方面:網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。〔3〕防電磁輻射方面:所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機(jī)?！?〕保安方面:主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)、安全設(shè)備的安全防護(hù)。

計(jì)算機(jī)網(wǎng)絡(luò)安全是個(gè)綜合性和復(fù)雜性的問題。面對網(wǎng)絡(luò)安全行業(yè)的飛速發(fā)展以及整個(gè)社會(huì)越來越快的信息化進(jìn)程，各種新技術(shù)將會(huì)不斷出現(xiàn)和應(yīng)用。

網(wǎng)絡(luò)安全孕育著無限的機(jī)遇和挑戰(zhàn)，作為一個(gè)熱門的研究領(lǐng)域和其擁有的重要戰(zhàn)略意義，相信未