對(duì)計(jì)算機(jī)信息構(gòu)成不安全的因素很多， 其中包括人為的因素、自然的因素和偶發(fā)的因素。其中，人為因素是指，一些不法之徒利用計(jì)算機(jī)網(wǎng)絡(luò)存在的漏洞，或者潛入計(jì)算機(jī)房，盜用計(jì)算機(jī)系統(tǒng)資源，非法獲取重要數(shù)據(jù)、篡改系統(tǒng)數(shù)據(jù)、破壞硬件設(shè)備、編制計(jì)算機(jī)病毒。人為因素是對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)安全威脅最大的因素，垃圾郵件和間諜軟件也都在侵犯著我們的計(jì)算機(jī)網(wǎng)絡(luò)。計(jì)算機(jī)網(wǎng)絡(luò)不安全因素主要表現(xiàn)在以下幾個(gè)方面：1、 計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性互聯(lián)網(wǎng)是對(duì)全世界都開放的網(wǎng)絡(luò)，任何單位或個(gè)人都可以在網(wǎng)上方便地傳輸和獲取各種信息，互聯(lián)網(wǎng)這種具有開放性、共享性、國(guó)際性的特點(diǎn)就對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全提出了挑戰(zhàn)。互聯(lián)網(wǎng)的不安全性主要有以下幾項(xiàng)：(1)網(wǎng)絡(luò)的開放性，網(wǎng)絡(luò)的技術(shù)是全開放的，使得網(wǎng)絡(luò)所面臨的攻擊來(lái)自多方面?；蚴莵?lái)自物理傳輸線路的攻擊，或是來(lái)自對(duì)網(wǎng)絡(luò)協(xié)議的攻擊，以及對(duì)計(jì)算機(jī)軟件、硬件的漏洞實(shí)施攻擊。(2)網(wǎng)絡(luò)的國(guó)際性，意味著對(duì)網(wǎng)絡(luò)的攻擊不僅是來(lái)自于本地網(wǎng)絡(luò)的用戶，還可以是互聯(lián)網(wǎng)上其他國(guó)家的黑客，所以，網(wǎng)絡(luò)的安全面臨著國(guó)際化的挑戰(zhàn)。(3)網(wǎng)絡(luò)的自由性，大多數(shù)的網(wǎng)絡(luò)對(duì)用戶的使用沒有技術(shù)上的約束，用戶可以自由地上網(wǎng)，發(fā)布和獲取各類信息。2、操作系統(tǒng)存在的安全問題操作系統(tǒng)是作為一個(gè)支撐軟件，使得你的程序或別的運(yùn)用系統(tǒng)在上面正常運(yùn)行的一個(gè)環(huán)境。操作系統(tǒng)提供了很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性，系統(tǒng)開發(fā)設(shè)計(jì)的不周而留下的破綻，都給網(wǎng)絡(luò)安全留下隱患。(1)操作系統(tǒng)結(jié)構(gòu)體系的缺陷。操作系統(tǒng)本身有內(nèi)存管理、CPU 管理、外設(shè)的管理，每個(gè)管理都涉及到一些模塊或程序，如果在這些程序里面存在問題，比如內(nèi)存管理的問題，外部網(wǎng)絡(luò)的一個(gè)連接過(guò)來(lái)，剛好連接一個(gè)有缺陷的模塊，可能出現(xiàn)的情況是，計(jì)算機(jī)系統(tǒng)會(huì)因此崩潰。所以，有些黑客往往是針對(duì)操作系統(tǒng)的不完善進(jìn)行攻擊，使計(jì)算機(jī)系統(tǒng)，特別是服務(wù)器系統(tǒng)立刻癱瘓。(2)操作系統(tǒng)支持在網(wǎng)絡(luò)上傳送文件、加載或安裝程序，包括可執(zhí)行文件，這些功能也會(huì)帶來(lái)不安全因素。網(wǎng)絡(luò)很重要的一個(gè)功能就是文件傳輸功能，比如FTP，這些安裝程序經(jīng)常會(huì)帶一些可執(zhí)行文件，這些可執(zhí)行文件都是人為編寫的程序，如果某個(gè)地方出現(xiàn)漏洞，那么系統(tǒng)可能就會(huì)造成崩潰。像這些遠(yuǎn)程調(diào)用、文件傳輸，如果生產(chǎn)廠家或個(gè)人在上面安裝間諜程序，那么用戶的整個(gè)傳輸過(guò)程、使用過(guò)程都會(huì)被別人監(jiān)視到，所有的這些傳輸文件、加載的程序、安裝的程序、執(zhí)行文件，都可能給操作系統(tǒng)帶來(lái)安全的隱患。所以，建議盡量少使用一些來(lái)歷不明，或者無(wú)法證明它的安全性的軟件。(3)操作系統(tǒng)不安全的一個(gè)原因在于它可以創(chuàng)建進(jìn)程，支持進(jìn)程的遠(yuǎn)程創(chuàng)建和激活，支持被創(chuàng)建的進(jìn)程繼承創(chuàng)建的權(quán)利，這些機(jī)制提供了在遠(yuǎn)端服務(wù)器上安裝“間諜”軟件的條件。若將間諜軟件以打補(bǔ)丁的方式“打”在一個(gè)合法用戶上，特別是“打”在一個(gè)特權(quán)用戶上，黑客或間諜軟件就可以使系統(tǒng)進(jìn)程與作業(yè)的監(jiān)視程序監(jiān)測(cè)不到它的存在。(4)操作系統(tǒng)有些守護(hù)進(jìn)程，它是系統(tǒng)的一些進(jìn)程，總是在等待某些事件的出現(xiàn)。所謂守護(hù)進(jìn)程，比如說(shuō)用戶有沒按鍵盤或鼠標(biāo)，或者別的一些處理。一些監(jiān)控病毒的監(jiān)控軟件也是守護(hù)進(jìn)程，這些進(jìn)程可能是好的，比如防病毒程序，一有病毒出現(xiàn)就會(huì)被撲捉到。但是有些進(jìn)程是一些病毒，一碰到特定的情況，比如碰到5月1日，它就會(huì)把用戶的硬盤格式化，這些進(jìn)程就是很危險(xiǎn)的守護(hù)進(jìn)程，平時(shí)它可能不起作用，可是在某些條件發(fā)生，比如5月1日，它才發(fā)生作用，如果操作系統(tǒng)有些守護(hù)進(jìn)程被人破壞掉就會(huì)出現(xiàn)這種不安全的情況。(5)操作系統(tǒng)會(huì)提供一些遠(yuǎn)程調(diào)用功能，所謂遠(yuǎn)程調(diào)用就是一臺(tái)計(jì)算機(jī)可以調(diào)用遠(yuǎn)程一個(gè)大型服務(wù)器里面的一些程序，可以提交程序給遠(yuǎn)程的服務(wù)器執(zhí)行，如telnet。遠(yuǎn)程調(diào)用要經(jīng)過(guò)很多的環(huán)節(jié)，中間的通訊環(huán)節(jié)可能會(huì)出現(xiàn)被人監(jiān)控等安全的問題。(6)操作系統(tǒng)的后門和漏洞。后門程序是指那些繞過(guò)安全控制而獲取對(duì)程序或系統(tǒng)訪問權(quán)的程序方法。在軟件開發(fā)階段，程序員利用軟件的后門程序得以便利修改程序設(shè)計(jì)中的不足。一旦后門被黑客利用，或在發(fā)布軟件前沒有刪除后門程序，容易被黑客當(dāng)成漏洞進(jìn)行攻擊，造成信息泄密和丟失。此外，操作系統(tǒng)的無(wú)口令的入口，也是信息安全的一大隱患。(7)盡管操作系統(tǒng)的漏洞可以通過(guò)版本的不斷升級(jí)來(lái)克服， 但是系統(tǒng)的某一個(gè)安全漏洞就會(huì)使得系統(tǒng)的所有安全控制毫無(wú)價(jià)值。當(dāng)發(fā)現(xiàn)問題到升級(jí)這段時(shí)間，一個(gè)小小的漏洞就足以使你的整個(gè)網(wǎng)絡(luò)癱瘓掉。3、數(shù)據(jù)庫(kù)存儲(chǔ)的內(nèi)容存在的安全問題數(shù)據(jù)庫(kù)管理系統(tǒng)大量的信息存儲(chǔ)在各種各樣的數(shù)據(jù)庫(kù)里面，包括我們上網(wǎng)看到的所有信息，數(shù)據(jù)庫(kù)主要考慮的是信息方便存儲(chǔ)、利用和管理，但在安全方面考慮的比較少。例如：授權(quán)用戶超出了訪問權(quán)限進(jìn)行數(shù)據(jù)的更改活動(dòng)；非法用戶繞過(guò)安全內(nèi)核，竊取信息。對(duì)于數(shù)據(jù)庫(kù)的安全而言，就是要保證數(shù)據(jù)的安全可靠和正確有效，即確保數(shù)據(jù)的安全性、完整性。數(shù)據(jù)的安全性是防止數(shù)據(jù)庫(kù)被破壞和非法的存?。粩?shù)據(jù)庫(kù)的完整性是防止數(shù)據(jù)庫(kù)中存在不符合語(yǔ)義的數(shù)據(jù)。4 、防火墻的脆弱性 防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.它是一種硬件和軟件的結(jié)合，使Internet 與Intranet 之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。 但防火墻只能提供網(wǎng)絡(luò)的安全性，不能保證網(wǎng)絡(luò)的絕對(duì)安全，它也難以防范網(wǎng)絡(luò)內(nèi)部的攻擊和病毒的侵犯。并不要指望防火墻靠自身就能夠給予計(jì)算機(jī)安全。防火墻保護(hù)你免受一類攻擊的威脅，但是卻不能防止從LAN 內(nèi)部的攻擊，若是內(nèi)部的人和外部的人聯(lián)合起來(lái)，即使防火墻再?gòu)?qiáng)，也是沒有優(yōu)勢(shì)的。它甚至不能保護(hù)你免受所有那些它能檢測(cè)到的攻擊。隨著技術(shù)的發(fā)展，還有一些破解的方法也使得防火墻造成一定隱患。這就是防火墻的局限性。 5、其他方面的因素 計(jì)算機(jī)系統(tǒng)硬件和通訊設(shè)施極易遭受到自然的影響，如：各種自然災(zāi)害（如地震、泥石流、水災(zāi)、風(fēng)暴、物破壞等）對(duì)構(gòu)成威脅。還有一些偶發(fā)性因素，如電源故障、設(shè)備的機(jī)能失常、軟件開發(fā)過(guò)程中留下的某些漏洞等，也對(duì)計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)成嚴(yán)重威脅。此外不好、規(guī)章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會(huì)對(duì)計(jì)算機(jī)信息安全造成威脅。計(jì)算機(jī)網(wǎng)絡(luò)安全的對(duì)策，可以從一下幾個(gè)方面進(jìn)行防護(hù)：1、 技術(shù)層面對(duì)策對(duì)于技術(shù)方面，計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)主要有實(shí)時(shí)掃描技術(shù)、實(shí)時(shí)監(jiān)測(cè)技術(shù)、防火墻、完整性保護(hù)技術(shù)、病毒情況分析報(bào)告技術(shù)和系統(tǒng)安全管理技術(shù)。綜合起來(lái)，技術(shù)層面可以采取以下對(duì)策：(1)建立安全管理制度。提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)修養(yǎng)。對(duì)重要部門和信息，嚴(yán)格做好開機(jī)查毒，及時(shí)備份數(shù)據(jù)，這是一種簡(jiǎn)單有效的方法。(2)網(wǎng)絡(luò)訪問控制。訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。(3)數(shù)據(jù)庫(kù)的備份與恢復(fù)。數(shù)據(jù)庫(kù)的備份與恢復(fù)是數(shù)據(jù)庫(kù)管理員維護(hù)數(shù)據(jù)安全性和完整性的重要操作。備份是恢復(fù)數(shù)據(jù)庫(kù)最容易和最能防止意外的保證方法?；謴?fù)是在意外發(fā)生后利用備份來(lái)恢復(fù)數(shù)據(jù)的操作。有三種主要備份策略：只備份數(shù)據(jù)庫(kù)、備份數(shù)據(jù)庫(kù)和事務(wù)日志、增量備份。(4)應(yīng)用密碼技術(shù)。應(yīng)用密碼技術(shù)是信息安全核心技術(shù)，密碼手段為信息安全提供了可靠保證?；诿艽a的數(shù)字簽名和身份認(rèn)證是當(dāng)前保證信息完整性的最主要方法之一，密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。(5)切斷途徑。對(duì)被感染的硬盤和計(jì)算機(jī)進(jìn)行徹底殺毒處理，不使用來(lái)歷不明的U 盤和程序，不隨意下載網(wǎng)絡(luò)可疑信息。(6)提高網(wǎng)絡(luò)反病毒技術(shù)能力。通過(guò)安裝病毒防火墻，進(jìn)行實(shí)時(shí)過(guò)濾。對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測(cè)，在工作站上采用防病毒卡，加強(qiáng)網(wǎng)絡(luò)目錄和文件訪問權(quán)限的設(shè)置。在網(wǎng)絡(luò)中，限制只能由服務(wù)器才允許執(zhí)行的文件。(7)研發(fā)并完善高安全的操作系統(tǒng)。研發(fā)具有高安全的操作系統(tǒng)，不給病毒得以滋生的溫床才能更安全。2、管理層面對(duì)策計(jì)算機(jī)網(wǎng)絡(luò)的安全管理，不僅要看所采用的安全技術(shù)和防范措施，而且要看它所采取的管理措施和執(zhí)行計(jì)算機(jī)安全保護(hù)、法規(guī)的力度。只有將兩者緊密結(jié)合，才能使計(jì)算機(jī)網(wǎng)絡(luò)安全確實(shí)有效。計(jì)算機(jī)網(wǎng)絡(luò)的安全管理，包括對(duì)計(jì)算機(jī)用戶的安全、建立相應(yīng)的安全管理機(jī)構(gòu)、不斷完善和加強(qiáng)計(jì)算機(jī)的管理功能、加強(qiáng)計(jì)算機(jī)及網(wǎng)絡(luò)的立法和執(zhí)法力度等方面。加強(qiáng)計(jì)算機(jī)安全管理、加強(qiáng)用戶的法律、法規(guī)和道德觀念，提高計(jì)算機(jī)用戶的安全意識(shí)，對(duì)防止計(jì)算機(jī)犯罪、抵制黑客攻擊和防止計(jì)算機(jī)病毒干擾，是十分重要的措施。這就要對(duì)計(jì)算機(jī)用戶不斷進(jìn)行法制教育，包括計(jì)算機(jī)安全法、計(jì)算機(jī)犯罪法、保密法、數(shù)據(jù)保護(hù)法等，明確計(jì)算機(jī)用戶和系統(tǒng)管理人員應(yīng)履行的權(quán)利和義務(wù)，自覺遵守合法信息系統(tǒng)原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則，自覺地和一切違法犯罪的行為作斗爭(zhēng)，維護(hù)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的安全，維護(hù)信息系統(tǒng)的安全。除此之外，還應(yīng)教育計(jì)算機(jī)用戶和全體工作人員，應(yīng)自覺遵守為維護(hù)系統(tǒng)安全而建立的一切規(guī)章制度，包括人員管理制度、運(yùn)行維護(hù)和管理制度、計(jì)算機(jī)處理的控制和管理制度、各種資料管理制度、機(jī)房保衛(wèi)管理制度、專機(jī)專用和嚴(yán)格分工等管理制度。3、安全層面對(duì)策要保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全、可靠，必須保證系統(tǒng)實(shí)體有個(gè)安全的物理環(huán)境條件。這個(gè)安全的環(huán)境是指機(jī)房及其設(shè)施，主要包括以下內(nèi)容：(1)計(jì)算機(jī)系統(tǒng)的環(huán)境條件。計(jì)算機(jī)系統(tǒng)的安全環(huán)境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動(dòng)和沖擊、電氣干擾等方面，都要有具體的要求和嚴(yán)格的標(biāo)準(zhǔn)。(2)機(jī)房場(chǎng)地環(huán)境的選擇。計(jì)算機(jī)系統(tǒng)選擇一個(gè)合適的安裝場(chǎng)所十分重要。它直接影響到系統(tǒng)的安全性和可靠性。選擇計(jì)算機(jī)房場(chǎng)地，要注意其外部環(huán)境安全性、可靠性、場(chǎng)地抗電磁干擾性，避開強(qiáng)振動(dòng)源和強(qiáng)噪聲源，并避免設(shè)在建筑物高層和用水設(shè)備的下層或隔壁。還要注意出入口的管理。(3)機(jī)房的安全防護(hù)。機(jī)房的安全防護(hù)是針對(duì)環(huán)境的物理災(zāi)害和防止未授權(quán)的個(gè)人或團(tuán)體破壞、篡改或盜竊網(wǎng)絡(luò)設(shè)施、重要數(shù)據(jù)而采取的安全措施和對(duì)策。為做到區(qū)域安全，首先，應(yīng)考慮物理訪問控制來(lái)識(shí)別訪問用戶的身份，并對(duì)其合法性進(jìn)行驗(yàn)證；其次，對(duì)來(lái)訪者必須限定其活動(dòng)范圍；第三，要在計(jì)算機(jī)系統(tǒng)中心設(shè)備外設(shè)多層安全防護(hù)圈，以防止非法暴力入侵；第四設(shè)備所在的建筑物應(yīng)具有抵御各種自然災(zāi)害的設(shè)施。

做畢業(yè)設(shè)計(jì)？看看這個(gè)，有時(shí)間還是多查查資料自己搞搞，畢業(yè)之后找工作也可以有保障嗎！網(wǎng)絡(luò)安全 計(jì)算機(jī)網(wǎng)絡(luò)安全論文 1 緒論 隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問題。 大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯(cuò)誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時(shí)間和金錢上是很充足、富有的人。同時(shí)，必須清楚地認(rèn)識(shí)到，能夠制止偶然實(shí)施破壞行為的敵人的方法對(duì)那些慣于作案的老手來(lái)說(shuō)，收效甚微。 網(wǎng)絡(luò)安全性可以被粗略地分為4個(gè)相互交織的部分：保密、鑒別、反拒認(rèn)以及完整性控制。保密是保護(hù)信息不被未授權(quán)者訪問，這是人們提到的網(wǎng)絡(luò)安全性時(shí)最常想到的內(nèi)容。鑒別主要指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確認(rèn)對(duì)方的身份。反拒認(rèn)主要與簽名有關(guān)。保密和完整性通過(guò)使用注冊(cè)過(guò)的郵件和文件鎖來(lái) 2 方案目標(biāo) 本方案主要從網(wǎng)絡(luò)層次考慮，將網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)成一個(gè)支持各級(jí)別用戶或用戶群的安全網(wǎng)絡(luò)，該網(wǎng)在保證系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全的同時(shí)，還實(shí)現(xiàn)與Internet或國(guó)內(nèi)其它網(wǎng)絡(luò)的安全互連。本方案在保證網(wǎng)絡(luò)安全可以滿足各種用戶的需求，比如：可以滿足個(gè)人的通話保密性，也可以滿足企業(yè)客戶的計(jì)算機(jī)系統(tǒng)的安全保障，數(shù)據(jù)庫(kù)不被非法訪問和破壞，系統(tǒng)不被病毒侵犯，同時(shí)也可以防止諸如反動(dòng)淫穢等有害信息在網(wǎng)上傳播等。 需要明確的是，安全技術(shù)并不能杜絕所有的對(duì)網(wǎng)絡(luò)的侵?jǐn)_和破壞，它的作用僅在于最大限度地防范，以及在受到侵?jǐn)_的破壞后將損失盡旦降低。具體地說(shuō)，網(wǎng)絡(luò)安全技術(shù)主要作用有以下幾點(diǎn)： 1．采用多層防衛(wèi)手段，將受到侵?jǐn)_和破壞的概率降到最低； 2．提供迅速檢測(cè)非法使用和非法初始進(jìn)入點(diǎn)的手段，核查跟蹤侵入者的活動(dòng)； 3．提供恢復(fù)被破壞的數(shù)據(jù)和系統(tǒng)的手段，盡量降低損失； 4．提供查獲侵入者的手段。 網(wǎng)絡(luò)安全技術(shù)是實(shí)現(xiàn)安全管理的基礎(chǔ)，近年來(lái)，網(wǎng)絡(luò)安全技術(shù)得到了迅猛發(fā)展，已經(jīng)產(chǎn)生了十分豐富的理論和實(shí)際內(nèi)容。 3 安全需求 通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來(lái)確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。即， 可用性： 授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù) 機(jī)密性： 信息不暴露給未授權(quán)實(shí)體或進(jìn)程 完整性： 保證數(shù)據(jù)不被未授權(quán)修改 可控性： 控制授權(quán)范圍內(nèi)的信息流向及操作方式 可審查性：對(duì)出現(xiàn)的安全問題提供依據(jù)與手段 訪問控制：需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離，對(duì)與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制。同樣，對(duì)內(nèi)部網(wǎng)絡(luò)，由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離，并實(shí)現(xiàn)相互的訪問控制。 數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲(chǔ)過(guò)程中防止非法竊取、篡改信息的有效手段。 安全審計(jì)： 是識(shí)別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容，一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng)，識(shí)別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為，即時(shí)響應(yīng)（如報(bào)警）并進(jìn)行阻斷；二是對(duì)信息內(nèi)容的審計(jì)，可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏 4 風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運(yùn)行的前提。網(wǎng)絡(luò)安全不單是單點(diǎn)的安全，而是整個(gè)信息網(wǎng)的安全，需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理方面進(jìn)行立體的防護(hù)。要知道如何防護(hù)，首先需要了解安全風(fēng)險(xiǎn)來(lái)自于何處。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個(gè)層面上的諸多風(fēng)險(xiǎn)類。無(wú)論哪個(gè)層面上的安全措施不到位，都會(huì)存在很大的安全隱患，都有可能造成網(wǎng)絡(luò)的中斷。根據(jù)國(guó)內(nèi)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況，應(yīng)當(dāng)從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進(jìn)行全面地分析。 風(fēng)險(xiǎn)分析是網(wǎng)絡(luò)安全技術(shù)需要提供的一個(gè)重要功能。它要連續(xù)不斷地對(duì)網(wǎng)絡(luò)中的消息和事件進(jìn)行檢測(cè)，對(duì)系統(tǒng)受到侵?jǐn)_和破壞的風(fēng)險(xiǎn)進(jìn)行分析。風(fēng)險(xiǎn)分析必須包括網(wǎng)絡(luò)中所有有關(guān)的成分。 5 解決方案 5.1 設(shè)計(jì)原則 針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際情況，解決網(wǎng)絡(luò)的安全保密問題是當(dāng)務(wù)之急，考慮技術(shù)難度及經(jīng)費(fèi)等因素，設(shè)計(jì)時(shí)應(yīng)遵循如下思想： 1．大幅度地提高系統(tǒng)的安全性和保密性； 2．保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性； 3．易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作； 4．盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展； 5．安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期使用； 6．安全與密碼產(chǎn)品具有合法性，及經(jīng)過(guò)國(guó)家有關(guān)管理部門的認(rèn)可或認(rèn)證； 7．分步實(shí)施原則：分級(jí)管理 分步實(shí)施。 5.2 安全策略 針對(duì)上述分析，我們采取以下安全策略： 1．采用漏洞掃描技術(shù)，對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。 2．采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有： (1) 防火墻技術(shù)：在網(wǎng)絡(luò)的對(duì)外接口，采用防火墻技術(shù)，在網(wǎng)絡(luò)層進(jìn)行訪問控制。 (2) NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息。 (3) VPN：虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過(guò)一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。它通過(guò)安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來(lái)，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會(huì)覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的機(jī)器都處于一個(gè)網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨(dú)占使用，而事實(shí)上并非如此。 (4）網(wǎng)絡(luò)加密技術(shù)(Ipsec) ：采用網(wǎng)絡(luò)加密技術(shù)，對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。 (5) 認(rèn)證：提供基于身份的認(rèn)證，并在各種認(rèn)證機(jī)制中可選擇使用。 (6) 多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng)：采用多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng)，對(duì)病毒實(shí)現(xiàn)全面的防護(hù)。 (7）網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè)：采用入侵檢測(cè)系統(tǒng)，對(duì)主機(jī)和網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和預(yù)警，進(jìn)一步提高網(wǎng)絡(luò)防御外來(lái)攻擊的能力。 3．實(shí)時(shí)響應(yīng)與恢復(fù)：制定和完善安全管理制度，提高對(duì)網(wǎng)絡(luò)攻擊等實(shí)時(shí)響應(yīng)與恢復(fù)能力。 4．建立分層管理和各級(jí)安全管理中心。 5.3 防御系統(tǒng) 我們采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)（Ipsec）、身份認(rèn)證技術(shù)、多層次多級(jí)別的防病毒系統(tǒng)、入侵檢測(cè)技術(shù)，構(gòu)成網(wǎng)絡(luò)安全的防御系統(tǒng)。 5.3.1 物理安全 物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。 為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴(kuò)散。通常是在物理上采取一定的防護(hù)措施，來(lái)減少或干擾擴(kuò)散出去的空間信號(hào)。這是政府、軍隊(duì)、金融機(jī)構(gòu)在興建信息中心時(shí)首要的設(shè)置的條件。 為保證網(wǎng)絡(luò)的正常運(yùn)行，在物理安全方面應(yīng)采取如下措施： 1．產(chǎn)品保障方面：主要指產(chǎn)品采購(gòu)、運(yùn)輸、安裝等方面的安全措施。 2．運(yùn)行安全方面：網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過(guò)程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對(duì)一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。 3．防電磁輻射方面：所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機(jī)。 4．保安方面：主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)、安全設(shè)備的安全防護(hù)。 5.3.2 防火墻技術(shù) 防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過(guò)控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過(guò)這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物理實(shí)現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備――路由器、計(jì)算機(jī)或其他特制地硬件設(shè)備。防火墻可以是獨(dú)立地系統(tǒng)，也可以在一個(gè)進(jìn)行網(wǎng)絡(luò)互連地路由器上實(shí)現(xiàn)防火墻。用防火墻來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)： （1）屏蔽路由器：又稱包過(guò)濾防火墻。 （2）雙穴主機(jī)：雙穴主機(jī)是包過(guò)濾網(wǎng)關(guān)的一種替代。 （3）主機(jī)過(guò)濾結(jié)構(gòu)：這種結(jié)構(gòu)實(shí)際上是包過(guò)濾和代理的結(jié)合。 （4）屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的變形。 根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型。 5.3.2.1 包過(guò)濾型 包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn) ,一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。 包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。 但包過(guò)濾技術(shù)的缺陷也是明顯的。包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無(wú)法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過(guò)包過(guò)濾型防火墻。 5.3.2.2 網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。在內(nèi)部網(wǎng)絡(luò)通過(guò)安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過(guò)非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過(guò)非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過(guò)一個(gè)開放的IP地址和端口來(lái)請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。 5.3.2.3 代理型 代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過(guò)濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來(lái)看,代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。 代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。 5.3.2.4 監(jiān)測(cè)型 監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí),這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品,雖然監(jiān)測(cè)型防火墻安全性上已超越了包過(guò)濾型和代理服務(wù)器型防火墻,但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測(cè)型防火墻。基于對(duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。 實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過(guò)濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過(guò)濾。例如,它可以過(guò)濾掉FTP連接中的PUT命令,而且通過(guò)代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過(guò)程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。 相關(guān)性：畢業(yè)論文,免費(fèi)畢業(yè)論文,大學(xué)畢業(yè)論文,畢業(yè)論文模板 5.3.3 入侵檢測(cè) 入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為 是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過(guò)它執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)： 1．監(jiān)視、分析用戶及系統(tǒng)活動(dòng)； 2．系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)； 3．識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警； 4．異常行為模式的統(tǒng)計(jì)分析； 5．評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 6． 操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。 5.4 安全服務(wù) 網(wǎng)絡(luò)是個(gè)動(dòng)態(tài)的系統(tǒng)，它的變化包括網(wǎng)絡(luò)設(shè)備的調(diào)整，網(wǎng)絡(luò)配置的變化，各種操作系統(tǒng)、應(yīng)用程序的變化，管理人員的變化。即使最初制定的安全策略十分可靠，但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的不斷變化，安全策略可能失效，必須及時(shí)進(jìn)行相應(yīng)的調(diào)整。針對(duì)以上問題和網(wǎng)管人員的不足，下面介紹一系列比較重要的網(wǎng)絡(luò)服務(wù)。包括： 1．通信伙伴認(rèn)證 通信伙伴認(rèn)證服務(wù)的作用是通信伙伴之間相互確庥身份，防止他人插入通信過(guò)程。認(rèn)證一般在通信之前進(jìn)行。但在必要的時(shí)候也可以在通信過(guò)程中隨時(shí)進(jìn)行。認(rèn)證有兩種形式，一種是檢查一方標(biāo)識(shí)的單方認(rèn)證，一種是通信雙方相互檢查對(duì)方標(biāo)識(shí)的相互認(rèn)證。 通信伙伴認(rèn)證服務(wù)可以通過(guò)加密機(jī)制，數(shù)字簽名機(jī)制以及認(rèn)證機(jī)制實(shí)現(xiàn)。 2．訪問控制 訪問控制服務(wù)的作用是保證只有被授權(quán)的用戶才能訪問網(wǎng)絡(luò)和利用資源。訪問控制的基本原理是檢查用戶標(biāo)識(shí)，口令，根據(jù)授予的權(quán)限限制其對(duì)資源的利用范圍和程度。例如是否有權(quán)利用主機(jī)CPU運(yùn)行程序，是否有權(quán)對(duì)數(shù)據(jù)庫(kù)進(jìn)行查詢和修改等等。 訪問控制服務(wù)通過(guò)訪問控制機(jī)制實(shí)現(xiàn)。 3．?dāng)?shù)據(jù)保密 數(shù)據(jù)保密服務(wù)的作用是防止數(shù)據(jù)被無(wú)權(quán)者閱讀。數(shù)據(jù)保密既包括存儲(chǔ)中的數(shù)據(jù)，也包括傳輸中的數(shù)據(jù)。保密查以對(duì)特定文件，通信鏈路，甚至文件中指定的字段進(jìn)行。 數(shù)據(jù)保密服務(wù)可以通過(guò)加密機(jī)制和路由控制機(jī)制實(shí)現(xiàn)。 4．業(yè)務(wù)流分析保護(hù) 業(yè)務(wù)流分析保護(hù)服務(wù)的作用是防止通過(guò)分析業(yè)務(wù)流，來(lái)獲取業(yè)務(wù)量特征，信息長(zhǎng)度以及信息源和目的地等信息。 業(yè)務(wù)流分析保護(hù)服務(wù)可以通過(guò)加密機(jī)制，偽裝業(yè)務(wù)流機(jī)制，路由控制機(jī)制實(shí)現(xiàn)。 5．?dāng)?shù)據(jù)完整性保護(hù) 數(shù)據(jù)完整性保護(hù)服務(wù)的作用是保護(hù)存儲(chǔ)和傳輸中的數(shù)據(jù)不被刪除，更改，插入和重復(fù)，必要時(shí)該服務(wù)也可以包含一定的恢復(fù)功能。 數(shù)據(jù)完整性保護(hù)服務(wù)可以通過(guò)加密機(jī)制，數(shù)字簽名機(jī)制以及數(shù)據(jù)完整性機(jī)制實(shí)現(xiàn) 6．簽字 簽字服務(wù)是用發(fā)送簽字的辦法來(lái)對(duì)信息的接收進(jìn)行確認(rèn)，以證明和承認(rèn)信息是由簽字者發(fā)出或接收的。這個(gè)服務(wù)的作用在于避免通信雙方對(duì)信息的來(lái)源發(fā)生爭(zhēng)議。 簽字服務(wù)通過(guò)數(shù)字簽名機(jī)制及公證機(jī)制實(shí)現(xiàn)。 5.5 安全技術(shù)的研究現(xiàn)狀和動(dòng)向 我國(guó)信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測(cè)、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長(zhǎng)期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開展研究，各部分相互協(xié)同形成有機(jī)整體。國(guó)際上信息安全研究起步較早，力度大，積累多，應(yīng)用廣，在70年代美國(guó)的網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計(jì)算機(jī)保密模型”（Beu& La padula模型）的基礎(chǔ)上，指定了“ 可信計(jì)算機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則”（TCSEC），其后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫(kù)方面和系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則。 結(jié)論 隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問題。 本論文從多方面描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問題的解決，可以使讀者有對(duì)網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

首先，必須（時(shí)刻）意識(shí)到你是在學(xué)習(xí)一門可以說(shuō)是最難的課程，是網(wǎng)絡(luò)專業(yè)領(lǐng)域的頂尖課程，不是什么人、隨隨便便就能學(xué)好的。不然，大家都是黑客，也就沒有黑客和網(wǎng)絡(luò)安全的概念了。 很多朋友抱著學(xué)一門課程、讀好一本書就可以掌握網(wǎng)絡(luò)安全的知識(shí)和技能。不幸的是，網(wǎng)絡(luò)安全技術(shù)決不是幾本書、幾個(gè)月就可以速成的。你需要參考大量的參考書。 另一方面，在學(xué)校接受的傳統(tǒng)教育觀念使我們習(xí)慣由老師來(lái)指定教材、參考書。遺憾的是走向了社會(huì)，走到工作崗位，沒有人給你指定解決這個(gè)安全問題需要什么參考書，你得自己研究，自己解決問題。 網(wǎng)絡(luò)安全涉及的知識(shí)面廣、術(shù)語(yǔ)多、理論知識(shí)多。正給學(xué)習(xí)這門課程帶來(lái)很多困難。也需要我們投入比其它課程多的時(shí)間和精力來(lái)學(xué)習(xí)它。 概括來(lái)說(shuō)，網(wǎng)絡(luò)安全課程的主要內(nèi)容包括：l 安全基本知識(shí)l 應(yīng)用加密學(xué)l 協(xié)議層安全l Windows安全（攻擊與防御）l Unix/Linux安全（攻擊與防御）l 防火墻技術(shù)l 入侵監(jiān)測(cè)系統(tǒng)l 審計(jì)和日志分析 下面分別對(duì)每部分知識(shí)介紹相應(yīng)的具體內(nèi)容和一些參考書（正像前面提到的那樣，有時(shí)間、有條件的話，這些書都應(yīng)該看至少一遍）。一、安全基本知識(shí) 這部分的學(xué)習(xí)過(guò)程相對(duì)容易些，可以花相對(duì)較少的時(shí)間來(lái)完成。這部分的內(nèi)容包括：安全的概念和定義、常見的安全標(biāo)準(zhǔn)等。 大部分關(guān)于網(wǎng)絡(luò)安全基礎(chǔ)的書籍都會(huì)有這部分內(nèi)容的介紹。 下面推薦一些和這部分有關(guān)的參考書：l 《CIW：安全專家全息教程》 魏巍 等譯，電子工業(yè)出版社l 《計(jì)算機(jī)系統(tǒng)安全》 曹天杰，高等教育出版社l 《計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論》 龔儉，東南大學(xué)出版社二、應(yīng)用加密學(xué) 加密學(xué)是現(xiàn)代計(jì)算機(jī)（網(wǎng)絡(luò)）安全的基礎(chǔ)，沒有加密技術(shù)，任何網(wǎng)絡(luò)安全都是一紙空談。 加密技術(shù)的應(yīng)用決不簡(jiǎn)單地停留在對(duì)數(shù)據(jù)的加密、解密上。密碼學(xué)除了可以實(shí)現(xiàn)數(shù)據(jù)保密性外、它還可以完成數(shù)據(jù)完整性校驗(yàn)、用戶身份認(rèn)證、數(shù)字簽名等功能。 以加密學(xué)為基礎(chǔ)的PKI（公鑰基礎(chǔ)設(shè)施）是信息安全基礎(chǔ)設(shè)施的一個(gè)重要組成部分，是一種普遍適用的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。授權(quán)管理基礎(chǔ)設(shè)施、可信時(shí)間戳服務(wù)系統(tǒng)、安全保密管理系統(tǒng)、統(tǒng)一的安全電子政務(wù)平臺(tái)等的構(gòu)筑都離不開它的支持。 可以說(shuō)，加密學(xué)的應(yīng)用貫穿了整個(gè)網(wǎng)絡(luò)安全的學(xué)習(xí)過(guò)程中。因?yàn)橹按蠖鄶?shù)人沒有接觸過(guò)在這方面的內(nèi)容，這是個(gè)弱項(xiàng)、軟肋，所以需要花費(fèi)比其它部分的時(shí)間和精力來(lái)學(xué)習(xí)。也需要參考的參考書。 下面推薦一些和這部分有關(guān)的參考書：l 《密碼學(xué)》 宋震，萬(wàn)水出版社l 《密碼工程實(shí)踐指南》 馮登國(guó) 等譯，清華大學(xué)出版社l 《秘密學(xué)導(dǎo)引》 吳世忠 等譯，機(jī)械工業(yè)（這本書內(nèi)容較深，不必完全閱讀，可作為參考）三、協(xié)議層安全 系統(tǒng)學(xué)習(xí)TCP/IP方面的知識(shí)有很多原因。要適當(dāng)?shù)貙?shí)施防火墻過(guò)濾，安全管理員必須對(duì)于TCP/IP的IP層和TCP/UDP層有很深的理解、黑客經(jīng)常使用TCP/IP堆棧中一部分區(qū)或來(lái)破壞網(wǎng)絡(luò)安全等。所以你也必須清楚地了解這些內(nèi)容。 協(xié)議層安全主要涉及和TCP/IP分層模型有關(guān)的內(nèi)容，包括常見協(xié)議的工作原理和特點(diǎn)、缺陷、保護(hù)或替代措施等等。 下面推薦一些和這部分有關(guān)的參考書（經(jīng)典書籍、不可不看）：l 《TCP/IP詳解 卷1：協(xié)議》 范建華 等譯，機(jī)械工業(yè)出版社l 《用TCP/IP進(jìn)行網(wǎng)際互聯(lián) 第一卷原理、協(xié)議與結(jié)構(gòu)》 林瑤 等譯，電子工業(yè)出版社四、Windows安全（攻擊與防御） 因?yàn)槲④浀腤indows NT操作系統(tǒng)已被廣泛應(yīng)用，所以它們更容易成為被攻擊的目標(biāo)。 對(duì)于Windows安全的學(xué)習(xí)，其實(shí)就是對(duì)Windows系統(tǒng)攻擊與防御技術(shù)的學(xué)習(xí)。而Windows系統(tǒng)安全的學(xué)習(xí)內(nèi)容將包括：用戶和組、文件系統(tǒng)、策略、系統(tǒng)默認(rèn)值、審計(jì)以及操作系統(tǒng)本身的漏洞的研究。 這部分的參考書較多，實(shí)際上任何一本和Windows攻防有關(guān)系的書均可。下面推薦一些和這部分有關(guān)的參考書：l 《黑客攻防實(shí)戰(zhàn)入門》 鄧吉，電子工業(yè)出版社l 《黑客大曝光》 楊繼張 等譯，清華大學(xué)出版社l 《狙擊黑客》 宋震 等譯，電子工業(yè)出版社五、Unix/Linux安全（攻擊與防御） 隨著Linux的市占率越來(lái)越高，Linux系統(tǒng)、服務(wù)器也被部署得越來(lái)越廣泛。Unix/Linux系統(tǒng)的安全問題也越來(lái)越凸現(xiàn)出來(lái)。作為一個(gè)網(wǎng)絡(luò)安全工作者，Linux安全絕對(duì)占有網(wǎng)絡(luò)安全一半的重要性。但是相對(duì)Windows系統(tǒng)，普通用戶接觸到Linux系統(tǒng)的機(jī)會(huì)不多。Unix/Linux系統(tǒng)本身的學(xué)習(xí)也是他們必須餓補(bǔ)的一課！ 下面是推薦的一套Linux系統(tǒng)管理的參考書。l 《Red Hat Linux 9桌面應(yīng)用》 梁如軍，機(jī)械工業(yè)出版社（和網(wǎng)絡(luò)安全關(guān)系不大，可作為參考）l 《Red Hat Linux 9系統(tǒng)管理》 金潔珩，機(jī)械工業(yè)出版社l 《Red Hat Linux 9網(wǎng)絡(luò)服務(wù)》 梁如軍，機(jī)械工業(yè)出版社 除了Unix/Linux系統(tǒng)管理相關(guān)的參考書外，這里還給出兩本和安全相關(guān)的書籍。l 《Red Hat Linux安全與優(yōu)化》 鄧少鹍，萬(wàn)水出版社l 《Unix 黑客大曝光》 王一川 譯，清華大學(xué)出版社六、防火墻技術(shù) 防火墻技術(shù)是網(wǎng)絡(luò)安全中的重要元素，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的一道屏障，一個(gè)哨崗。除了應(yīng)該深刻理解防火墻技術(shù)的種類、工作原理之外，作為一個(gè)網(wǎng)絡(luò)安全的管理人員還應(yīng)該熟悉各種常見的防火墻的配置、維護(hù)。 至少應(yīng)該了解以下防火墻的簡(jiǎn)單配置。l 常見的各種個(gè)人防火墻軟件的使用l 基于ACL的包過(guò)濾防火墻配置（如基于Windows的IPSec配置、基于Cisco路由器的ACL配置等）l 基于Linux操作系統(tǒng)的防火墻配置（Ipchains/Iptables）l ISA配置l Cisco PIX配置l Check Point防火墻配置l 基于Windows、Unix、Cisco路由器的VPN配置 下面推薦一些和這部分有關(guān)的參考書：l 《網(wǎng)絡(luò)安全與防火墻技術(shù) 》 楚狂，人民郵電出版社l 《Linux防火墻》余青霓譯，人民郵電出版社l 《高級(jí)防火墻ISA Server 2000》 李靜安，中國(guó)鐵道出版社l 《Cisco訪問表配置指南》 前導(dǎo)工作室 譯，機(jī)械工業(yè)出版社l 《Check Point NG安全管理》 王東霞譯，機(jī)械工業(yè)出版社l 《虛擬專用網(wǎng)（VPN）精解》 王達(dá)，清華大學(xué)出版社七、入侵監(jiān)測(cè)系統(tǒng)（IDS） 防火墻不能對(duì)所有應(yīng)用層的數(shù)據(jù)包進(jìn)行分析，會(huì)成為網(wǎng)絡(luò)數(shù)據(jù)通訊的瓶頸。既便是代理型防火墻也不能檢查所有應(yīng)用層的數(shù)據(jù)包。 入侵檢測(cè)是防火墻的合理補(bǔ)充，它通過(guò)收集、分析計(jì)算機(jī)系統(tǒng)、計(jì)算機(jī)網(wǎng)絡(luò)介質(zhì)上的各種有用信息幫助系統(tǒng)管理員發(fā)現(xiàn)攻擊并進(jìn)行響應(yīng)。可以說(shuō)入侵檢測(cè)是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

一：學(xué)網(wǎng)絡(luò)安全需要的知識(shí)：1、必須精通TCP/IP協(xié)議族。 2、學(xué)習(xí)和了解各種OS 平臺(tái)，如：linux,UNIX,BSD 等。 3、隨時(shí)關(guān)注網(wǎng)絡(luò)安全最新安全動(dòng)態(tài)。 4、熟悉有關(guān)網(wǎng)絡(luò)安全的硬軟件配置方法。尤其交換機(jī)和路由的配置。 5、多泡網(wǎng)絡(luò)安全論壇。 6、終身學(xué)習(xí)。二：網(wǎng)絡(luò)安全必修課程：（后面的教材僅為參考）0、專業(yè)基礎(chǔ)：1）C/C++：【C++Primer中文版 還有題解c++ primer 需要一定的C++基礎(chǔ)，如果要比較基本的話，錢能的那本不錯(cuò)，清華大學(xué)出版社的。 <<c programming languge>> 全球最經(jīng)典的C語(yǔ)言教程 中文名字<<c程序設(shè)計(jì)語(yǔ)言>>】2）匯編語(yǔ)言 asm3）操作系統(tǒng)【linux,UNIX,BSD】UBUNTU是linux操作系統(tǒng) 鳥哥的linux私房菜】4）計(jì)算機(jī)網(wǎng)絡(luò)1、系統(tǒng)編程：（Windows核心及網(wǎng)絡(luò)編程）1、精通VC/C++編程，熟悉windows網(wǎng)絡(luò)SOCKET編程開發(fā)1）《Windows網(wǎng)絡(luò)編程（第二版）》（附光盤），（美）Anthony Jones, Jim Ohlund著；楊合慶譯；清華大學(xué)出版社，2002.12）《Windows 核心編程（第四版）》（附光盤），（美）Jetfrey Richter著，王建華 等譯；機(jī)械工業(yè)出版社，2006.92、逆向工程：1）《加密與解密（第二版）》（附光盤），段鋼 著，電子工業(yè)出版社；2004.53、網(wǎng)絡(luò)協(xié)議：1）《計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)教程》（《COMPUTER NETWORKS: INTERNET PROTOCOLS IN ACTION》），（美）JEANNA MATTHEWS著，李毅超 曹躍 王鈺 等譯，人民郵電出版社，2006.12）《TCP/IP協(xié)議詳解??卷一：協(xié)議》、《TCP/IP詳解??卷2：實(shí)現(xiàn)》、《TCP/IP詳解??卷3：TCP 事務(wù)協(xié)議、HTTP、NNTP和UNIX域協(xié)議》，美 W.Richard Stevens 著，機(jī)械工業(yè)出版社，2004.9??或《用TCP/IP進(jìn)行網(wǎng)際互聯(lián)第一卷：原理、協(xié)議與結(jié)構(gòu)》、《用TCP/IP進(jìn)行網(wǎng)際互聯(lián)第二卷：設(shè)計(jì)、實(shí)現(xiàn)與內(nèi)核》、《用TCP/IP 進(jìn)行網(wǎng)際互聯(lián)第三卷:客戶-服務(wù)器編程與應(yīng)用》（第四版）、（美）Douglas E.Comer林瑤 等，電子工業(yè)出版社，2001 年5月4、網(wǎng)絡(luò)安全專業(yè)知識(shí)結(jié)構(gòu)：1）《信息安全原理與應(yīng)用（第三版）》（《Security in Computing》），（美）CharlesP Pfleeger，Shari Lawrence Pfleeger著；李毅超，蔡洪斌，譚浩 等譯； 電子工業(yè)出版社，2004.72）《黑客大曝光－－網(wǎng)絡(luò)安全機(jī)密與解決方案》（第五版），（美）Stuart McClure，Joel Scambray， George Kurtz；王吉軍 等譯，清華大學(xué)出版社，2006年4月三：英語(yǔ)學(xué)好，也是有用的，尤其是考一些比較有用的證。