網(wǎng)絡(luò)安全現(xiàn)狀及發(fā)展趨勢畢業(yè)論文

1、<p>　　網(wǎng)絡(luò)安全現(xiàn)狀及發(fā)展趨勢</p><p><b>　　作者：XXX</b></p><p>　　【摘 要】 網(wǎng)絡(luò)安全的解決是一個綜合性問題，涉及到諸多因素，包括技術(shù)、產(chǎn)品和管理等。本文主要研究了信息安全現(xiàn)狀及發(fā)展趨勢，信現(xiàn)代息系統(tǒng)中的信息安全其核心問題是密碼理論及其應(yīng)用，其基礎(chǔ)是可信信息系統(tǒng)的構(gòu)作與評估。隨著信息技術(shù)的發(fā)展與應(yīng)用，信息安全的內(nèi)涵在

2、不斷的延伸，從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性，進而又發(fā)展為"攻（攻擊）、防（防范）、測（檢測）、控（控制）、管（管理）、評（評估）"等多方面的基礎(chǔ)理論和實施技術(shù)。其中防火墻技術(shù)現(xiàn)今人們很關(guān)注，它是在市場上比較流行，而又能夠代表未來發(fā)展方向的安全產(chǎn)品。</p><p>　　【關(guān)鍵詞】網(wǎng)絡(luò)安全 發(fā)展趨勢 密碼理論 防火墻技術(shù)</p><p>

3、<b>　　第一章引言</b></p><p>　　理論研究而言，一些關(guān)鍵的基礎(chǔ)理論需要保密，因為從基礎(chǔ)理論研究到實際應(yīng)用的距離很短。現(xiàn)代信息系統(tǒng)中的信息安全其核心問題是密碼理論及其應(yīng)用，其基礎(chǔ)是可信信息系統(tǒng)的構(gòu)作與評估。隨著計算機技術(shù)與網(wǎng)絡(luò)通信技術(shù)以及信息產(chǎn)業(yè)的高速發(fā)展，介入Internet的個人和單位主機數(shù)量快速增長，尤其是計算機再政府、國防、金融、公安、和商業(yè)等部門的廣泛應(yīng)用，社會對計

4、算機的依賴越來越大，而計算機系統(tǒng)的安全一旦受到破壞，不僅會導(dǎo)致嚴(yán)重的社會混亂，也會帶來巨大的經(jīng)濟損失。世界重要發(fā)達郭嘉每年因計算機犯罪所造成的經(jīng)濟損失令人吃驚，遠(yuǎn)遠(yuǎn)超過了普通經(jīng)濟犯罪的損失。因此，確保計算機系統(tǒng)的安全已成為世界關(guān)注的社會問題，信息安全已成為信息科 學(xué)的熱點課題，信息安全專業(yè)也受到了社會各界的普遍關(guān)注。</p><p>　　總的來說，目前在信息安全領(lǐng)域人們所關(guān)注的焦點主要有以下幾方面：</p&

5、gt;<p>　　1） 密碼理論與技術(shù)；</p><p>　　2） 安全協(xié)議理論與技術(shù)；</p><p>　　3） 安全體系結(jié)構(gòu)理論與技術(shù)；</p><p>　　4） 信息對抗理論與技術(shù)；</p><p>　　5） 網(wǎng)絡(luò)安全與安全產(chǎn)品。</p><p><b>　　6）防火墻技術(shù)</b&g

6、t;</p><p>　　第二章 信息安全領(lǐng)域各項研究現(xiàn)狀及發(fā)展趨勢</p><p>　　1、安全協(xié)議理論與技術(shù)研究現(xiàn)狀及發(fā)展趨勢</p><p>　　安全協(xié)議的研究主要包括兩方面內(nèi)容，即安全協(xié)議的安全性分析方法研究和各種實用安全協(xié)議的設(shè)計與分析研究。安全協(xié)議的安全性分析方法主要有兩類，一類是攻擊檢驗方法，一類是形式化分析方法，其中安全協(xié)議的形式化分析方法是安全協(xié)議

7、研究中最關(guān)鍵的研究問題之一，它的研究始于80年代初，目前正處于百花齊放，充滿活力的狀態(tài)之中。許多一流大學(xué)和公司的介入，使這一領(lǐng)域成為研究熱點。隨著各種有效方法及思想的不斷涌現(xiàn)，這一領(lǐng)域在理論上正在走向成熟。</p><p>　　從大的方面講，在協(xié)議形式化分析方面比較成功的研究思路可以分為三種：第一種思路是基于推理知識和信念的模態(tài)邏輯；第二種思路是基于狀態(tài)搜索工具和定理證明技術(shù)；第三種思路是基于新的協(xié)議模型發(fā)展證明

8、正確性理論。沿著第一種思路，Brackin推廣了GNY邏輯并給出了該邏輯的高階邏輯(HOL)理論，之后利用HOL理論自動證明在該系統(tǒng)內(nèi)與安全相關(guān)的命題；Kindred則提出安全協(xié)議的理論生成，解決更廣的問題：給定一個邏輯和協(xié)議，生成協(xié)議的整個理論的有限表示。盡管也有人提出不同的認(rèn)證邏輯來檢查不同的攻擊，但是與前兩項工作相比是不重要的。第二種思路是近幾年研究的焦點，大量一般目的的形式化方法被用于這一領(lǐng)域，取得了大量成果，突出的成果有：Lo

9、we使用進程代數(shù)CSP發(fā)現(xiàn)了Needham-Schroeder公鑰協(xié)議的十七年未發(fā)現(xiàn)的漏洞；Schneider用進程代數(shù)CSP歸范了大量的安全性質(zhì)；基于進程代數(shù)CSP ，Lowe和Roscoe分別發(fā)展了不同的理論和方法把大系統(tǒng)中協(xié)議安全性質(zhì)的研究約化為小系統(tǒng)中協(xié)議安全性質(zhì)的研究；Abadi及 Gordon發(fā)展推演密碼協(xié)議的Spi演算，J.Mitchell等把Spi演算與</p><p>　　目前，已經(jīng)提出了大量的

10、實用安全協(xié)議，有代表的有：電子商務(wù)協(xié)議，IPSec協(xié)議，TLS協(xié)議，簡單網(wǎng)絡(luò)管理協(xié)議（SNMP），PGP協(xié)議，PEM協(xié)議，S-HTTP協(xié)議，S/MIME協(xié)議等。實用安全協(xié)議的安全性分析特別是電子商務(wù)協(xié)議，IPSec協(xié)議，TLS協(xié)議是當(dāng)前協(xié)議研究中的另一個熱點。</p><p>　　典型的電子商務(wù)協(xié)議有SET協(xié)議，iKP協(xié)議等。另外，值得注意的是Kailar邏輯，它是目前分析電子商務(wù)協(xié)議的最有效的一種形式化方法。&

11、lt;/p><p>　　為了實現(xiàn)安全IP，Internet工程任務(wù)組IETF于1994年開始了一項IP安全工程，專門成立了IP安全協(xié)議工作組IPSEC，來制定和推動一套稱為IPSec的IP安全協(xié)議標(biāo)準(zhǔn)。其目標(biāo)就是把安全集成到IP層，以便對Internet的安全業(yè)務(wù)提供底層的支持。IETF于1995年8月公布了一系列關(guān)于IPSec的建議標(biāo)準(zhǔn)。IPSec適用于IPv4和下一代IP協(xié)議IPv6，并且是IPv6自身必備的安全

12、機制。但由于IPSec還比較新，正處于研究發(fā)展和完善階段。</p><p>　　在安全協(xié)議的研究中，除理論研究外，實用安全協(xié)議研究的總趨勢是走向標(biāo)準(zhǔn)化。我國學(xué)者雖然在理論研究方面和國際上已有協(xié)議的分析方面做了一些工作，但在實際應(yīng)用方面與國際先進水平還有一定的差距，當(dāng)然，這主要是由于我國的信息化進程落后于先進國家的原因。</p><p>　　2．密碼理論與技術(shù)研究現(xiàn)狀及發(fā)展趨勢</p&

13、gt;<p>　　密碼理論與技術(shù)主要包括兩部分，即基于數(shù)學(xué)的密碼理論與技術(shù)（包括公鑰密碼、分組密碼、序列密碼、認(rèn)證碼、數(shù)字簽名、Hash函數(shù)、身份識別、密鑰管理、PKI技術(shù)等）和非數(shù)學(xué)的密碼理論與技術(shù)（包括信息隱形，量子密碼，基于生物特征的識別理論與技術(shù)）。 公鑰密碼主要用于數(shù)字簽名和密鑰分配。當(dāng)然，數(shù)字簽名和密鑰分配都有自己的研究體系，形成了各自的理論框架。目前數(shù)字簽名的研究內(nèi)容非常豐富，包括普通簽名和特殊簽名。特殊簽

14、名有盲簽名，代理簽名，群簽名，不可否認(rèn)簽名，公平盲簽名，門限簽名，具有消息恢復(fù)功能的簽名等，它與具體應(yīng)用環(huán)境密切相關(guān)。顯然，數(shù)字簽名的應(yīng)用涉及到法律問題，美國聯(lián)邦政府基于有限域上的離散對數(shù)問題制定了自己的數(shù)字簽名標(biāo)準(zhǔn)（DSS），部分州已制定了數(shù)字簽名法。法國是第一個制定數(shù)字簽名法的國家，其他國家也正在實施之中。在密鑰管理方面，國際上都有一些大的舉動，密鑰管理中還有一種很重要的技術(shù)就是秘密共享技術(shù)，它是一種分割秘密的技術(shù)，目的是阻止秘密過

15、于集中，我國學(xué)者在這些方面也做了一些跟蹤研究，發(fā)表了很多論文，按照X.509標(biāo)準(zhǔn)實現(xiàn)了一些CA。但沒有聽說過哪個部門有制定數(shù)字簽名法的意向。目前人們關(guān)注</p><p>　　認(rèn)證碼是一個理論性比較強的研究課題，自80年代后期以來，在其構(gòu)造和界的估計等方面已經(jīng)取得了長足的發(fā)展，我國學(xué)者在這方面的研究工作也非常出色，影響較大。目前這方面的理論相對比較成熟，很難有所突破。另外，認(rèn)證碼的應(yīng)用非常有限，幾乎停留在理論研究上

16、，已不再是密碼學(xué)中的研究熱點。</p><p>　　序列密碼主要用于政府、軍方等國家要害部門，盡管用于這些部門的理論和技術(shù)都是保密的，但由于一些數(shù)學(xué)工具（比如代數(shù)、數(shù)論、概率等）可用于研究序列密碼，其理論和技術(shù)相對而言比較成熟。從八十年代中期到九十年代初，序列密碼的研究非常熱，在序列密碼的設(shè)計與生成以及分析方面出現(xiàn)了一大批有價值的成果，我國學(xué)者在這方面也做了非常優(yōu)秀的工作。雖然，近年來序列密碼不是一個研究熱點，但

17、有很多有價值的公開問題需要進一步解決，比如自同步流密碼的研究，有記憶前饋網(wǎng)絡(luò)密碼系統(tǒng)的研究，混沌序列密碼和新研究方法的探索等。另外，雖然沒有制定序列密碼標(biāo)準(zhǔn)，但在一些系統(tǒng)中廣泛使用了序列密碼比如RC4，用于存儲加密。事實上，歐洲的NESSIE計劃中已經(jīng)包括了序列密碼標(biāo)準(zhǔn)的制定，這一舉措有可能導(dǎo)致序列密碼研究熱。</p><p>　　國外目前不僅在密碼基礎(chǔ)理論方面的研究做的很好，而且在實際應(yīng)用方面也做的非常好。制定

18、了一系列的密碼標(biāo)準(zhǔn)，特別規(guī)范。算法的征集和討論都已經(jīng)公開化，但密碼技術(shù)作為一種關(guān)鍵技術(shù)，各國都不會放棄自主權(quán)和控制權(quán)，都在爭奪霸權(quán)地位。我國在密碼基礎(chǔ)理論的某些方面的研究做的很好，但在實際應(yīng)用方面與國外的差距較大，沒有自己的標(biāo)準(zhǔn)，也不規(guī)范。</p><p>　　目前國際上對非數(shù)學(xué)的密碼理論與技術(shù)（包括信息隱形，量子密碼，基于生物特征的識別理論與技術(shù)等）非常關(guān)注，討論也非?；钴S。信息隱藏將在未來網(wǎng)絡(luò)中保護信息免于破

19、壞起到重要作用，信息隱藏是網(wǎng)絡(luò)環(huán)境下把機密信息隱藏在大量信息中不讓對方發(fā)覺的一種方法。特別是圖象疊加、數(shù)字水印、潛信道、隱匿協(xié)議等的理論與技術(shù)的研究已經(jīng)引起人們的重視。1996年以來，國際上召開了多次有關(guān)信息隱藏的專業(yè)研討會?；谏锾卣鳎ū热缡中?、指紋、語音、視網(wǎng)膜、虹膜、臉形、DNA等）的識別理論與技術(shù)已有所發(fā)展，形成了一些理論和技術(shù)，也形成了一些產(chǎn)品，這類產(chǎn)品往往由于成本高而未被廣泛采用。1969年美國哥倫比亞大學(xué)的Wiesner

20、創(chuàng)造性地提出了共軛編碼的概念，遺憾的是他的這一思想當(dāng)時沒有被人們接受。十年后，源于共軛編碼概念的量子密碼理論與技術(shù)才取得了令人驚異的進步，已先后在自由空間和商用光纖中完成了單光子密鑰交換協(xié)議，英國BT實驗室通過30公里的光纖信道實現(xiàn)了每秒20k比特的密鑰分配。近年來，英、美、日等國的許多大學(xué)和研究機構(gòu)競相投入到量子密碼的研究之中，更大的計劃在歐洲進行。到目前為止，主要有三大類量子密碼實現(xiàn)方案：一是基于單</p><p

21、>　　密碼技術(shù)特別是加密技術(shù)是信息安全技術(shù)中的核心技術(shù)，國家關(guān)鍵基礎(chǔ)設(shè)施中不可能引進或采用別人的加密技術(shù)，只能自主開發(fā)。目前我國在密碼技術(shù)的應(yīng)用水平方面與國外還有一定的差距。國外的密碼技術(shù)必將對我們有一定的沖擊力，特別是在加入WTO組織后這種沖擊力只會有增無減。有些做法必須要逐漸與國際接軌，不能再采用目前這種關(guān)門造車的做法，因此，我們必須要有我們自己的算法，自己的一套標(biāo)準(zhǔn)，自己的一套體系，來對付未來的挑戰(zhàn)。實用密碼技術(shù)的基礎(chǔ)是密碼

22、基礎(chǔ)理論，沒有好的密碼理論不可能有好的密碼技術(shù)、也不可能有先進的、自主的、創(chuàng)新的密碼技術(shù)。因此，首先必須持之以恒地堅持和加強密碼基礎(chǔ)理論研究，與國際保持同步，這方面的工作必須要有政府的支持和投入。另一方面，密碼理論研究也是為了應(yīng)用，沒有應(yīng)用的理論是沒有價值的。我們應(yīng)在現(xiàn)有理論和技術(shù)基礎(chǔ)上充分吸收國外先進經(jīng)驗形成自主的、創(chuàng)新的密碼技術(shù)以適應(yīng)國民經(jīng)濟的發(fā)展。</p><p>　　特別值得一提的是歐洲大計劃NESSIE

23、工程必將大大推動密碼學(xué)的研究和發(fā)展，我們應(yīng)予以密切關(guān)注。</p><p>　　3．安全體系結(jié)構(gòu)理論與技術(shù)研究現(xiàn)狀及發(fā)展趨勢</p><p>　　安全體系結(jié)構(gòu)理論與技術(shù)主要包括：安全體系模型的建立及其形式化描述與分析，安全策略和機制的研究，檢驗和評估系統(tǒng)安全性的科學(xué)方法和準(zhǔn)則的建立，符合這些模型、策略和準(zhǔn)則的系統(tǒng)的研制（比如安全操作系統(tǒng)，安全數(shù)據(jù)庫系統(tǒng)等）。</p><p

24、>　　我國在系統(tǒng)安全的研究與應(yīng)用方面與先進國家和地區(qū)存在很大差距。近幾年來，在我國進行了安全操作系統(tǒng)、安全數(shù)據(jù)庫、多級安全機制的研究，但由于自主安全內(nèi)核受控于人，難以保證沒有漏洞。而且大部分有關(guān)的工作都以美國1985年的TCSEC標(biāo)準(zhǔn)為主要參照系。開發(fā)的防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測系統(tǒng)等產(chǎn)品和技術(shù)，主要集中在系統(tǒng)應(yīng)用環(huán)境的較高層次上，在完善性、規(guī)范性、實用性上還存在許多不足，特別是在多平臺的兼容性、多協(xié)議的適應(yīng)性、多

25、接口的滿足性方面存在很大距離，其理論基礎(chǔ)和自主的技術(shù)手段也有待于發(fā)展和強化。然而，我國的系統(tǒng)安全的研究與應(yīng)用畢竟已經(jīng)起步，具備了一定的基礎(chǔ)和條件。1999年10月發(fā)布了"計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則"，該準(zhǔn)則為安全產(chǎn)品的研制提供了技術(shù)支持，也為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)。</p><p>　　Linux開放源代碼為我們自主研制安全操作系統(tǒng)提供了前所未有的機遇。作為信息系統(tǒng)賴以支持

26、的基礎(chǔ)系統(tǒng)軟件--操作系統(tǒng)，其安全性是個關(guān)鍵。長期以來，我國廣泛使用的主流操作系統(tǒng)都是從國外引進的。從國外引進的操作系統(tǒng)，其安全性難以令人放心。具有我國自主版權(quán)的安全操作系統(tǒng)產(chǎn)品在我國各行各業(yè)都迫切需要。我國的政府、國防、金融等機構(gòu)對操作系統(tǒng)的安全都有各自的要求，都迫切需要找到一個既滿足功能、性能要求，又具備足夠的安全可信度的操作系統(tǒng)。Linux的發(fā)展及其應(yīng)用在國際上的廣泛興起，在我國也產(chǎn)生了廣泛的影響，只要其安全問題得到妥善解決，將會

27、得到我國各行各業(yè)的普遍接受。 </p><p>　　4．網(wǎng)絡(luò)安全與安全產(chǎn)品研究現(xiàn)狀及發(fā)展趨勢</p><p>　　網(wǎng)絡(luò)安全是信息安全中的重要研究內(nèi)容之一，也是當(dāng)前信息安全領(lǐng)域中的研究熱點。研究內(nèi)容包括：網(wǎng)絡(luò)安全整體解決方案的設(shè)計與分析，網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)等。網(wǎng)絡(luò)安全包括物理安全和邏輯安全。物理安全指網(wǎng)絡(luò)系統(tǒng)中各通信、計算機設(shè)備及相關(guān)設(shè)施的物理保護，免于破壞、丟失等。邏輯安全包含信息完整性、

28、保密性、非否認(rèn)性和可用性。它是一個涉及網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、人員管理等方方面面的事情，必須綜合考慮。</p><p>　　網(wǎng)絡(luò)中的安全威脅主要有：</p><p>　　1）身份竊取，指用戶身份在通信時被非法截取；</p><p>　　2）假冒，指非法用戶假冒合法用戶身份獲取敏感信息的行為；</p><p>　　3）數(shù)據(jù)竊取，指非法

29、用戶截獲通信網(wǎng)絡(luò)的數(shù)據(jù)；</p><p>　　4）否認(rèn)，指通信方事后否認(rèn)曾經(jīng)參與某次活動的行為；</p><p><b>　　5）非授權(quán)訪問；</b></p><p>　　6）拒絕服務(wù)，指合法用戶的正當(dāng)申請被拒絕、延遲、更改等；</p><p><b>　　7）錯誤路由。</b></p>

30、<p>　　解決網(wǎng)絡(luò)信息安全問題的主要途徑是利用密碼技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù)。密碼技術(shù)用于隱蔽傳輸信息、認(rèn)證用戶身份等。網(wǎng)絡(luò)訪問控制技術(shù)用于對系統(tǒng)進行安全保護，抵抗各種外來攻擊。</p><p>　　目前，在市場上比較流行，而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類：</p><p>　　1） 防火墻：防火墻在某種意義上可以說是一種訪問控制產(chǎn)品。它在內(nèi)部網(wǎng)絡(luò)與不安全的外部

31、網(wǎng)絡(luò)之間設(shè)置障礙，阻止外界對內(nèi)部資源的非法訪問，防止內(nèi)部對外部的不安全訪問。主要技術(shù)有：包過濾技術(shù)，應(yīng)用網(wǎng)關(guān)技術(shù)，代理服務(wù)技術(shù)。防火墻能夠較為有效地防止黑客利用不安全的服務(wù)對內(nèi)部網(wǎng)絡(luò)的攻擊，并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過濾、記錄和報告功能，較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接。但它其本身可能存在安全問題，也可能會是一個潛在的瓶頸。</p><p>　　2） 安全路由器：由于WAN連接需要專用的路由器設(shè)備，因而可通過路

32、由器來控制網(wǎng)絡(luò)傳輸。通常采用訪問控制列表技術(shù)來控制網(wǎng)絡(luò)信息流。</p><p>　　3） 虛擬專用網(wǎng)(VPN)：虛擬專用網(wǎng)（VPN）是在公共數(shù)據(jù)網(wǎng)絡(luò)上，通過采用數(shù)據(jù)加密技術(shù)和訪問控制技術(shù)，實現(xiàn)兩個或多個可信內(nèi)部網(wǎng)之間的互聯(lián)。VPN的構(gòu)筑通常都要求采用具有加密功能的路由器或防火墻，以實現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞。</p><p>　　4） 安全服務(wù)器：安全服務(wù)器主要針對一個局域網(wǎng)內(nèi)部信息存

33、儲、傳輸?shù)陌踩Ｃ軉栴}，其實現(xiàn)功能包括對局域網(wǎng)資源的管理和控制，對局域網(wǎng)內(nèi)用戶的管理，以及局域網(wǎng)中所有安全相關(guān)事件的審計和跟蹤。</p><p>　　5） 電子簽證機構(gòu)--CA和PKI產(chǎn)品：電子簽證機構(gòu)（CA）作為通信的第三方，為各種服務(wù)提供可信任的認(rèn)證服務(wù)。CA可向用戶發(fā)行電子簽證證書，為用戶提供成員身份驗證和密鑰管理等功能。PKI產(chǎn)品可以提供更多的功能和更好的服務(wù)，將成為所有應(yīng)用的計算基礎(chǔ)結(jié)構(gòu)的核心部件。&l

34、t;/p><p>　　6） 用戶認(rèn)證產(chǎn)品：由于IC卡技術(shù)的日益成熟和完善，IC卡被更為廣泛地用于用戶認(rèn)證產(chǎn)品中，用來存儲用戶的個人私鑰，并與其他技術(shù)如動態(tài)口令相結(jié)合，對用戶身份進行有效的識別。同時，還可利用IC卡上的個人私鑰與數(shù)字簽名技術(shù)結(jié)合，實現(xiàn)數(shù)字簽名機制。隨著模式識別技術(shù)的發(fā)展，諸如指紋、視網(wǎng)膜、臉部特征等高級的身份識別技術(shù)也將投入應(yīng)用，并與數(shù)字簽名等現(xiàn)有技術(shù)結(jié)合，必將使得對于用戶身份的認(rèn)證和識別更趨完善。&l

35、t;/p><p>　　7） 安全管理中心：由于網(wǎng)上的安全產(chǎn)品較多，且分布在不同的位置，這就需要建立一套集中管理的機制和設(shè)備，即安全管理中心。它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰，監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運行狀態(tài)，負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計信息等。</p><p>　　8） 入侵檢測系統(tǒng)（IDS）：入侵檢測，作為傳統(tǒng)保護機制（比如訪問控制，身份識別等）的有效補充，形成了信息系統(tǒng)中不可或缺的反饋鏈。</

36、p><p>　　9） 安全數(shù)據(jù)庫：由于大量的信息存儲在計算機數(shù)據(jù)庫內(nèi)，有些信息是有價值的，也是敏感的，需要保護。安全數(shù)據(jù)庫可以確保數(shù)據(jù)庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。</p><p>　　10） 安全操作系統(tǒng)：給系統(tǒng)中的關(guān)鍵服務(wù)器提供安全運行平臺，構(gòu)成安全WWW服務(wù)，安全FTP服務(wù)，安全SMTP服務(wù)等，并作為各類網(wǎng)絡(luò)安全產(chǎn)品的堅實底座，確保這些安全產(chǎn)品的

37、自身安全。</p><p>　　在上述所有主要的發(fā)展方向和產(chǎn)品種類上，都包含了密碼技術(shù)的應(yīng)用，并且是非?；A(chǔ)性的應(yīng)用。很多的安全功能和機制的實現(xiàn)都是建立在密碼技術(shù)的基礎(chǔ)之上，甚至可以說沒有密碼技術(shù)就沒有安全可言。但是，我們也應(yīng)該看到密碼技術(shù)與通信技術(shù)、計算機技術(shù)以及芯片技術(shù)的融合正日益緊密，其產(chǎn)品的分界線越來越模糊，彼此也越來越不能分割。在一個計算機系統(tǒng)中，很難簡單地劃分某個設(shè)備是密碼設(shè)備，某個設(shè)備是通信設(shè)備。而

38、這種融合的最終目的還是在于為用戶提供高可信任的、安全的計算機和網(wǎng)絡(luò)信息系統(tǒng)。</p><p>　　第三章 防火墻技術(shù)在信息安全領(lǐng)域中的應(yīng)用及其前景</p><p>　　防火墻一般有三個特性： </p><p>　　1）所有的通信都經(jīng)過防火墻 </p><p>　　2）防火墻只放行經(jīng)過授權(quán)的網(wǎng)絡(luò)流量 </p><p>　

39、　3）防火墻能經(jīng)受的住對其本身的攻擊 </p><p>　　為什么要使用防火墻？很多人都會有這個問題，也有人提出，如果把每個單獨的系統(tǒng)配置好，其實也能經(jīng)受住攻擊。遺憾的是很多系統(tǒng)在缺省情況下都是脆弱的。最顯著的例子就是Windows系統(tǒng)，我們不得不承認(rèn)在Windows 2003以前的時代， Windows默認(rèn)開放了太多不必要的服務(wù)和端口，共享信息沒有合理配置與審核。如果管理員通過安全部署，包括刪除多余的服務(wù)和組件

40、，嚴(yán)格執(zhí)行NTFS權(quán)限分配，控制系統(tǒng)映射和共享資源的訪問，以及帳戶的加固和審核，補丁的修補等。做好了這些，我們也可以非常自信的說，Windows足夠安全。也可以抵擋住網(wǎng)絡(luò)上肆無忌憚的攻擊。但是致命的一點是，該服務(wù)器系統(tǒng)無法在安全性，可用性和功能上進行權(quán)衡和妥協(xié)。 </p><p>　　如果沒有防火墻，粗略的下個結(jié)論，就是：整個網(wǎng)絡(luò)的安全將倚仗該網(wǎng)絡(luò)中所有系統(tǒng)的安全性的平均值。遺憾的是這并不是一個正確的結(jié)論，真實的

41、情況比這更糟：整個網(wǎng)絡(luò)的安全性將被網(wǎng)絡(luò)中最脆弱的部分所嚴(yán)格制約。即非常有名的木桶理論也可以應(yīng)用到網(wǎng)絡(luò)安全中來。沒有人可以保證網(wǎng)絡(luò)中每個節(jié)點每個服務(wù)都永遠(yuǎn)運行在最佳狀態(tài)。網(wǎng)絡(luò)越龐大，把網(wǎng)絡(luò)中所有主機維護至同樣高的安全水平就越復(fù)雜，將會耗費大量的人力和時間。整體的安全響應(yīng)速度將不可忍受，最終導(dǎo)致網(wǎng)絡(luò)安全框架的崩潰。</p><p>　　防火墻成為了與不可信任網(wǎng)絡(luò)進行聯(lián)絡(luò)的唯一紐帶，我們通過部署防火墻，就可以通過關(guān)注防

42、火墻的安全來保護其內(nèi)部的網(wǎng)絡(luò)安全。并且所有的通信流量都通過防火墻進行審記和保存，對于網(wǎng)絡(luò)安全犯罪的調(diào)查取證提供了依據(jù)。總之，防火墻減輕了網(wǎng)絡(luò)和系統(tǒng)被用于非法和惡意目的的風(fēng)險。 </p><p>　　防火墻的主要優(yōu)點如下： </p><p>　　1）防火墻可以通過執(zhí)行訪問控制策略而保護整個網(wǎng)絡(luò)的安全，并且可以將通信約束在一個可管理和可靠性高的范圍之內(nèi)。 </p><p&g

43、t;　　2）防火墻可以用于限制對某些特殊服務(wù)的訪問。 </p><p>　　3）防火墻功能單一，不需要在安全性，可用性和功能上做取舍。 </p><p>　　4）防火墻有審記和報警功能，有足夠的日志空間和記錄功能，可以延長安全響應(yīng)的周期。 </p><p>　　同樣的，防火墻也有許多弱點： </p><p>　　1）不能防御已經(jīng)授權(quán)的訪問,以

44、及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊. </p><p>　　2）不能防御合法用戶惡意的攻擊.以及社交攻擊等非預(yù)期的威脅. </p><p>　　3）不能修復(fù)脆弱的管理措施和存在問題的安全策略 </p><p>　　4）不能防御不經(jīng)過防火墻的攻擊和威脅 </p><p>　　在開始之前，我們首先必須面對一個事實，絕對的安全是沒有的。我們所能做的，是減

45、少企業(yè)所面臨的安全風(fēng)險，延長安全的穩(wěn)定周期，縮短消除威脅的反映時間。網(wǎng)管與安全人員需要解決的是來自內(nèi)部和外部的混合威脅，是蓄意或無意的攻擊和破壞，是需要提高整體安全防范意識與科學(xué)的協(xié)調(diào)和管理?？陀^的去分析現(xiàn)今的企業(yè)網(wǎng)絡(luò)，我們不難發(fā)現(xiàn)，在經(jīng)歷了普及終端和網(wǎng)絡(luò)互聯(lián)的時代后，我們面對的問題還有很多，如客戶端的非法操作，對網(wǎng)絡(luò)的不合法的訪問與利用；網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計缺陷與混雜的部署環(huán)境；網(wǎng)絡(luò)邊界與關(guān)鍵應(yīng)用的區(qū)域缺乏必要的防御措施和審記系統(tǒng)等等。 &

46、lt;/p><p><b>　　第四章 結(jié)果與結(jié)論</b></p><p>　　網(wǎng)絡(luò)安全的解決是一個綜合性問題，涉及到諸多因素，包括技術(shù)、產(chǎn)品和管理等。目前國際上已有眾多的網(wǎng)絡(luò)安全解決方案和產(chǎn)品，但由于出口政策和自主性等問題，不能直接用于解決我國自己的網(wǎng)絡(luò)安全，因此我國的網(wǎng)絡(luò)安全只能借鑒這些先進技術(shù)和產(chǎn)品，自行解決。可幸的是，目前國內(nèi)已有一些網(wǎng)絡(luò)安全解決方案和產(chǎn)品，不過，

47、這些解決方案和產(chǎn)品與國外同類產(chǎn)品相比尚有一定的差距。</p><p><b>　　【參考資料】:</b></p><p>　　1）陳鐘 “網(wǎng)絡(luò)與信息安全”研究生講義 密碼技術(shù)基礎(chǔ)</p><p>　　2）Andrew S.Tanenbaum, Albert S.Woodhull “Operating System Design and Impl