畢業(yè)論文---計算機網(wǎng)絡(luò)安全及防范策略淺析

1、<p><b>　　本科畢業(yè)設(shè)計論文</b></p><p>　　題目：計算機網(wǎng)絡(luò)安全及防范策略淺析</p><p>　　院、 系： </p><p>　　學(xué)科專業(yè)： </p><p>　　學(xué) 生： </p&g

2、t;<p>　　學(xué) 號： </p><p>　　指導(dǎo)教師： </p><p>　　計算機網(wǎng)絡(luò)安全及防范策略淺析</p><p><b>　　摘要</b></p><p>　　由于計算機網(wǎng)絡(luò)具有開放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性

3、，再加上計算機網(wǎng)絡(luò)具有難以克服的自身脆弱性和人為的疏忽，導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計算機系統(tǒng)存在很多安全問題。國家計算機網(wǎng)絡(luò)信息安全管理中心有關(guān)人士指出，網(wǎng)絡(luò)與信息安全已成為我國互聯(lián)網(wǎng)健康發(fā)展必須面對的嚴(yán)重問題。主要安全策略有：防火墻技術(shù)、建立安全實時相應(yīng)和應(yīng)急恢復(fù)的整體防御 、阻止入侵或非法訪問 、 數(shù)據(jù)傳輸加密技術(shù) 、 密鑰管理技術(shù) 、 加強網(wǎng)絡(luò)安全的人為管理等。</p><p>　　關(guān)鍵詞: 開放性、互聯(lián)性、網(wǎng)絡(luò)與

4、信息安全</p><p><b>　　一、緒論</b></p><p>　　網(wǎng)絡(luò)信息系統(tǒng)安全已引起各國的高度重視。對于上網(wǎng)的信息，如果安全得不到保障，攻擊破壞者就可以通過竊取相關(guān)數(shù)據(jù)密碼獲得相應(yīng)的權(quán)限，然后進行非法操作。所以，在這個虛擬的網(wǎng)絡(luò)社會中，安全問題顯得至關(guān)重要。隨著社會信息化程度的不斷提高，網(wǎng)絡(luò)信息系統(tǒng)的安全與否已成為影響國家安全的重要因素。因此，自主掌握最

5、新的網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù)，在民族產(chǎn)業(yè)的支撐下建立計算機網(wǎng)絡(luò)系安全保障體系，建立完善的網(wǎng)絡(luò)信息系統(tǒng)安全管理體系已成為當(dāng)務(wù)之急。網(wǎng)絡(luò)信息系統(tǒng)安全到底包含哪些因素?網(wǎng)絡(luò)信息系統(tǒng)安全與管理的關(guān)系如何?網(wǎng)絡(luò)信息系統(tǒng)安全有三個中心目標(biāo)。保密性：保證非授權(quán)操作不能獲取受保護的信息或計算機資源。完整性：保證非授權(quán)操作不能修改數(shù)據(jù)。有效性：保證非授權(quán)操作不能破壞信息或計算機資源。所以，網(wǎng)絡(luò)信息系統(tǒng)以信息流為中心，依賴網(wǎng)絡(luò)設(shè)施完成信息流通。在我國，網(wǎng)絡(luò)信息

6、系統(tǒng)的安全性主要集中在網(wǎng)絡(luò)安全、信息安全和文化安全三個主要方面。 </p><p>　　網(wǎng)絡(luò)安全指由于網(wǎng)絡(luò)信息系統(tǒng)基于網(wǎng)絡(luò)運行和網(wǎng)絡(luò)間的互聯(lián)互通造成的物理線路和連接的安全、網(wǎng)絡(luò)系統(tǒng)安全、操作系統(tǒng)安全、應(yīng)用服務(wù)安全、人員管理安全幾個方面。網(wǎng)絡(luò)由于其本身開放性所帶來的各個方面的安全問題是事實存在的。我們在正視這一事實的基礎(chǔ)上，在承認(rèn)不可能有絕對安全的網(wǎng)絡(luò)系統(tǒng)的前提下，努力探討如何加強網(wǎng)絡(luò)安全防范性能，如何通過安全系列

7、軟件、硬件及相關(guān)管理手段提高網(wǎng)絡(luò)信息系統(tǒng)的安全性能，降低安全風(fēng)險，及時準(zhǔn)確地掌握網(wǎng)絡(luò)信息系統(tǒng)的安全問題及薄弱環(huán)節(jié)，及早發(fā)現(xiàn)安全漏洞、攻擊行為并針對性地做出預(yù)防處理。在攻擊發(fā)生過程中，盡早發(fā)現(xiàn)，及時阻斷。在攻擊發(fā)生后，盡快恢復(fù)并找出原因。 </p><p><b>　　二、研究意義</b></p><p>　　網(wǎng)絡(luò)的廣泛應(yīng)用與發(fā)展使信息資源的交流和共享更加便捷，同時也對

8、傳統(tǒng)的信息組織與管理形成了很大沖擊。網(wǎng)絡(luò)信息爆炸、無序、優(yōu)劣混雜 ,缺乏統(tǒng)一的組織與控制 ,嚴(yán)重阻礙了信息資源的利用，因此基于信息生態(tài)的理論對網(wǎng)絡(luò)信息資源的優(yōu)化配置的研究就尤為必要。 </p><p>　　自20世紀(jì)90年代后期以來，隨著生態(tài)學(xué)理論的引入，信息生態(tài)成為其一個重要的分支，信息生態(tài)問題已經(jīng)成為現(xiàn)代信息管理界的一個研究熱點，與以往片面強調(diào)技術(shù)的作用不同，信息生態(tài)通過對人、技術(shù)、信息和環(huán)境進行綜合考察。

9、</p><p>　　1997年，美國管理科學(xué)家達文波特（Thomas H.Davenport）在《信息生態(tài)學(xué)：掌握信息與知識環(huán)境》一書中首次提出信息生態(tài)學(xué)（Information Ecology）的概念，將生態(tài)理念引入企業(yè)的信息管理中，從而開辟了信息管理的新領(lǐng)域。 </p><p>　　1999年，納笛(Bonnie. A. Nardi)和歐戴(Vicki L. O' Day)合

10、作撰寫了《信息生態(tài)：用心使用技術(shù)》中，將信息生態(tài)定義為“特定環(huán)境里由人、實踐、價值和技術(shù)構(gòu)成的一個系統(tǒng)”，認(rèn)為信息生態(tài)系統(tǒng)里占核心地位的不是技術(shù)，而是由技術(shù)支持的人的活動。 </p><p>　　國內(nèi)學(xué)者對信息生態(tài)的研究有代表性的是蔣錄全在2003年出版的《信息生態(tài)與社會可持續(xù)發(fā)展》中對信息生態(tài)進行了系統(tǒng)研究。他認(rèn)為信息生態(tài)涉及信息、人和環(huán)境三大要素，信息生態(tài)就是研究信息—人—環(huán)境之間的相互影響和相互作用，進而在

11、此基礎(chǔ)上推導(dǎo)其整個生態(tài)系統(tǒng)的生成演和發(fā)展。而張福學(xué)認(rèn)為信息生態(tài)只是一個比喻式的概念,意在利用“生態(tài)”這一比喻培育新的思想和理論。 </p><p>　　對于信息生態(tài)理論中一個重要的研究內(nèi)容是信息生態(tài)環(huán)境，蔣錄全博士將信息生態(tài)環(huán)境因子定義為：信息環(huán)境中對人類及社會組織的成長、行為、發(fā)展、流動和分布以及社會進化與發(fā)展有著直接或間接影響的環(huán)境要素。信息環(huán)境因子主要可分為:人類因子、信息因子、信息技術(shù)因子、信息政策法律與

12、信息倫理因子、信息文化因子等。而在網(wǎng)絡(luò)環(huán)境中不容回避的一個事實就是信息生態(tài)失衡。 </p><p>　　信息生態(tài)平衡是指信息、人、環(huán)境之間的均衡狀態(tài)。信息生態(tài)失衡指以上要素處于不平衡狀態(tài)，即信息生態(tài)系統(tǒng)內(nèi)部和外部交換的信息受阻或其自身要素與子系統(tǒng)之間的比例失調(diào)等。謝立虹在《網(wǎng)絡(luò)空間中的信息生態(tài)問題》中提出其主要現(xiàn)象有信息超載、信息污染、信息壟斷和信息侵犯等4個方面。李鳳石認(rèn)為信息生態(tài)生態(tài)失衡的主要表現(xiàn)為信息資源分

13、布失衡、信息爆炸等。</p><p>　　對于解決信息生態(tài)失衡的措施學(xué)者們從不同的角度進行了分析，田春虎認(rèn)為調(diào)節(jié)信息生態(tài)失衡的方法包括從系統(tǒng)角度出發(fā)進行整體規(guī)劃與布局，實現(xiàn)信息資源共享，保持信息生態(tài)系統(tǒng)的平衡與穩(wěn)定；加大研究與開發(fā)投入，提高技術(shù)的創(chuàng)新能力；調(diào)整人員結(jié)構(gòu)，提高信息素養(yǎng)；加強對網(wǎng)絡(luò)信息生態(tài)系統(tǒng)的管理等。孟瑞玲從制定信息政策和信息法規(guī)、加強信息門戶網(wǎng)站和信息地圖建設(shè)方面提出了解決方法。此外，應(yīng)金萍等提出

14、實施信息分級制度，以凈化信息環(huán)境整合傳統(tǒng)理論優(yōu)勢，進行信息倫理學(xué)研究，加強信息倫理道德建設(shè)強化信息市場管理等具體措施。 </p><p>　　借鑒信息生態(tài)的思路為解決企業(yè)信息化及信息資源優(yōu)化配置提供了一個很好的思路。以往企業(yè)進行信息化建設(shè)往往是片面地強調(diào)某一方面的重要性,而不是從生態(tài)系統(tǒng)的角度來綜合考慮,從而導(dǎo)致結(jié)果與預(yù)期相差甚遠。從信息生態(tài)的角度分析及評價企業(yè)信息資源管理是現(xiàn)代環(huán)境下企業(yè)必須重視的一個問題。 &

15、lt;/p><p>　　劉文燕等在《從信息生態(tài)角度談企業(yè)信息化》中談到信息時代企業(yè)可持續(xù)發(fā)展的理想狀態(tài)是為員工建立良好的信息生態(tài)環(huán)境，使企業(yè)成為一個信息生態(tài)化的企業(yè)。企業(yè)信息生態(tài)化是關(guān)于企業(yè)信息管理的一種新范式,從生態(tài)學(xué)的角度來考察企業(yè)信息管理中的系統(tǒng)性以及人與企業(yè)信息環(huán)境中之間的相互性，這種新范式是“以人為本”的一種信息管理方法，與“技術(shù)至上”的信息管理方法存在明顯差異，為企業(yè)解決信息問題指出了新方向。李佳洋認(rèn)為技

16、術(shù)本身并不能解決企業(yè)組織的信息問題，只有當(dāng)管理者改變“技術(shù)至上”的觀念并且開始關(guān)注企業(yè)信息環(huán)境中存在的問題，才可能改變現(xiàn)狀，建立合理穩(wěn)定的企業(yè)信息生態(tài)系統(tǒng)，為企業(yè)的發(fā)展?fàn)I造平衡和諧環(huán)境。 </p><p>　　雖然國內(nèi)學(xué)術(shù)界對信息生態(tài)問題研究的歷史還不長，但已圍繞它進行了較為全面的探討和分析，提出了許多有價值的觀點和對策，這將有助于信息生態(tài)學(xué)這一新興學(xué)科的理論構(gòu)建，并對解決信息生態(tài)失衡及信息資源管理問題具有現(xiàn)實的

17、指導(dǎo)意義。 </p><p>　　隨著信息社會的飛速發(fā)展，技術(shù)的變革，環(huán)境的變化及信息的多樣性以及需求的復(fù)雜性和個性化，對信息資源管理提出了新的課題。這要求我們從信息生態(tài)的理論從總體上加以解決。通過信息、人和環(huán)境的協(xié)調(diào)發(fā)展，強調(diào)網(wǎng)絡(luò)信息化資源配置的效益性,使信息化資源配置達到最佳、效益最優(yōu), 這是網(wǎng)絡(luò)資源優(yōu)化配置的努力方向。 </p><p><b>　　三、研究內(nèi)容 </

18、b></p><p>　　3.1.網(wǎng)絡(luò)信息資源優(yōu)化配置內(nèi)容</p><p>　　大多數(shù)國內(nèi)學(xué)者從網(wǎng)絡(luò)信息分布的時間、空間和數(shù)量特征三個方面論述了網(wǎng)絡(luò)信息資源配置的內(nèi)容。李楠瀾將網(wǎng)絡(luò)信息資源配置內(nèi)容總結(jié)概括為網(wǎng)絡(luò)信息資源的時間矢量配置、空間矢量配置以及品種類型上的配置和在數(shù)量上的配置等四方面的內(nèi)容。就品種類型配置，又從媒體類型、內(nèi)容、時效性、歸屬特性及保密程度進行區(qū)分。 </p&

19、gt;<p>　　3.2.網(wǎng)絡(luò)信息資源優(yōu)化配置原則</p><p>　　劉水養(yǎng)指出網(wǎng)絡(luò)信息資源的配置應(yīng)在一定原則的指導(dǎo)下，通過多種不同模式的調(diào)配有序、高效地進行，使得網(wǎng)絡(luò)信息資源發(fā)揮出最大的效用，從而達到優(yōu)化配置的目的。他認(rèn)為應(yīng)該遵循宏觀調(diào)控原則、以市場需求為導(dǎo)向原則、質(zhì)量保證原則、集成配置與互補合作原則、效率優(yōu)先、兼顧公平原則、集中與分散相結(jié)合原則、品種多樣化原則等。 </p>&l

20、t;p>　　許恩元在《網(wǎng)絡(luò)信息資源優(yōu)化配置原則與模式新論》中引入了信息資源有效配置的理論依據(jù)—帕累托最優(yōu)理論。分別就社會福利最大化原則、需求導(dǎo)向原則、公平原則、協(xié)調(diào)共享原則、市場手段與政府手段互補原則、合理分工與綜合發(fā)展相結(jié)合原則等進行分析。 </p><p>　　3.3.網(wǎng)絡(luò)信息資源優(yōu)化配置模式</p><p>　　網(wǎng)絡(luò)信息資源配置的模式包括宏觀配置和微觀配置兩方面的內(nèi)容。宏觀配置

21、就是政府通過宏觀手段對信息資源的配置提供政策性的指導(dǎo)，是一種政府層面的行政干預(yù)行為。對于宏觀配置研究者一般從加強信息基礎(chǔ)設(shè)施建設(shè)、完善信息政策和信息法規(guī)、設(shè)置均衡配置的指導(dǎo)目標(biāo)、引入競爭機制及調(diào)控增量信息資源的規(guī)劃與建設(shè)等方面進行了論述。 </p><p>　　微觀配置就是信息的制作、傳播部門在政府宏觀調(diào)控指導(dǎo)下對網(wǎng)絡(luò)信息資源在時間、空間和數(shù)量等要素上作適時的配置，是一種技術(shù)性、操作性行為。重點需要網(wǎng)絡(luò)信息資源在

22、時間、空間、數(shù)量、類型、及技術(shù)的配置。 </p><p>　　郭東強等認(rèn)為應(yīng)該將生態(tài)學(xué)及生態(tài)平衡的理念引入企業(yè)信息系統(tǒng)中形成企業(yè)信息生態(tài)系統(tǒng)。當(dāng)企業(yè)信息生態(tài)系統(tǒng)發(fā)展到成熟階段，各類的企業(yè)信息的比重、數(shù)量趨于平衡，信息的流向和流動趨于穩(wěn)定，即達到企業(yè)信息生態(tài)系統(tǒng)的平衡狀態(tài)。此時，整個社會經(jīng)濟資源達到最優(yōu)化配置，經(jīng)濟主體不僅達到經(jīng)濟效益、社會效益，同時也實現(xiàn)了生態(tài)效益。同時他還建議正視過度依賴技術(shù)、使用技術(shù)給企業(yè)的信

23、息環(huán)境帶來的危害，提出“以人為本”的管理模式，注重人的因素，使人的作用得以充分發(fā)揮。 </p><p>　　3.4.網(wǎng)絡(luò)信息資源優(yōu)化配置措施</p><p>　　大部分學(xué)者從宏觀角度進行了研究，高丹從宏觀上的提出相應(yīng)建議：加強信息基礎(chǔ)設(shè)施建設(shè)、有層次的配置信息資源、積極參與信息資源的開發(fā)、提高信息人員的素質(zhì)、培育高效的信息市場。李穎認(rèn)為要研究用戶需求，建立全國性的網(wǎng)絡(luò)信息資源管理協(xié)調(diào)機構(gòu)，

24、建立高質(zhì)量的數(shù)據(jù)庫及法律保障機制。陳德敏從技術(shù)角度對網(wǎng)絡(luò)信息資源的管理進行研究，分別是MARC格式、DC元數(shù)據(jù)格式、應(yīng)用分類法、應(yīng)用主題法。 </p><p>　　王玉在《論協(xié)同電子商務(wù)下的信息資源優(yōu)化配置》中，談到協(xié)同電子商務(wù)的建立必須從整個行業(yè)出發(fā)，研究各個企業(yè)的信息和資源的共享和集成，以及企業(yè)之間在市場環(huán)境中的合作和協(xié)調(diào)機制，建立能為企業(yè)提供一個從企業(yè)到行業(yè)到區(qū)域企業(yè)的集成信息支撐平臺。這些都符合企業(yè)信息生

25、態(tài)系統(tǒng)及生態(tài)圈的要求及動態(tài)演化的特點，當(dāng)企業(yè)信息生態(tài)圈建設(shè)和發(fā)展到成熟階段時 ,各類企業(yè)信息的比重、數(shù)量和企業(yè)群的比例趨于平衡 ,信息的流向與流量趨于穩(wěn)定，即達到企業(yè)信息生態(tài)圈平衡。這種平衡是社會經(jīng)濟中市場平衡的真實反映 ,這時各種社會資源的配置趨于優(yōu)化狀態(tài)。 </p><p>　　通過考察網(wǎng)絡(luò)信息資源的優(yōu)化配置的研究現(xiàn)狀,網(wǎng)絡(luò)環(huán)境下信息資源的優(yōu)化配置和有效的開發(fā)利用是目前信息資源管理研究的一個熱點問題。國內(nèi)諸多

26、學(xué)者對網(wǎng)絡(luò)信息資源優(yōu)化配置的內(nèi)涵、原則、措施等內(nèi)容行了分析，他們對基于網(wǎng)絡(luò)環(huán)境下的信息資源優(yōu)化配置的必要性都十分認(rèn)同，但缺乏具體的實例分析及模型的建立，另外對于網(wǎng)絡(luò)信息環(huán)境所出現(xiàn)的變化及與信息資源優(yōu)化配置的模式也缺乏相應(yīng)的研究。 </p><p><b>　　四、網(wǎng)絡(luò)安全的定義</b></p><p>　　4.1.計算機網(wǎng)絡(luò)安全的含義 </p><

27、p>　　計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護， 避免被竊聽、篡改和偽造； 而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、 軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信， 保持網(wǎng)絡(luò)通信的連續(xù)性。 </p><p>　　從本質(zhì)上來

28、講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致 因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。 </p><p>　　4.2 .常見的幾種網(wǎng)絡(luò)入侵方法</p><p>　　由于計算機網(wǎng)絡(luò)的設(shè)計初衷是資源共享、分散控制、分組交換，這決定了互聯(lián)網(wǎng)具有大跨度、分布式、無邊界的特征。這種開放性使黑客可以輕而

29、易舉地進入各級網(wǎng)絡(luò)，并將破壞行為迅速地在網(wǎng)絡(luò)中傳播。同時，計算機網(wǎng)絡(luò)還有著自然社會中所不具有的隱蔽性：無法有效識別網(wǎng)絡(luò)用戶的真實身份；由于互聯(lián)網(wǎng)上信息以二進制數(shù)碼，即數(shù)字化的形式存在，所以操作者能比較容易地在數(shù)據(jù)傳播過程中改變信息內(nèi)容。計算機網(wǎng)絡(luò)的傳輸協(xié)議及操作系統(tǒng)也存在設(shè)計上的缺陷和漏洞，從而導(dǎo)致各種被攻擊的潛在危險層出不窮，這使網(wǎng)絡(luò)安全問題與傳統(tǒng)的各種安全問題相比面臨著更加嚴(yán)峻的挑戰(zhàn)，黑客們也正是利用這樣的特征研發(fā)出了各種各樣的攻擊

30、和入侵方法：</p><p>　　1).通過偽裝發(fā)動攻擊 ； </p><p>　　2).利用開放端口漏洞發(fā)動攻擊； </p><p>　　3).通過木馬程序進行入侵或發(fā)動攻擊 ； </p><p>　　4).嗅探器和掃描攻擊 。 </p><p>　　為了應(yīng)對不斷更新的網(wǎng)絡(luò)攻擊手段，網(wǎng)絡(luò)安

31、全技術(shù)也經(jīng)歷了從被動防護到主動檢測的發(fā)展過程。主要的網(wǎng)絡(luò)安全技術(shù)包括：防火墻、VPN、防毒墻、入侵檢測、入侵防御、漏洞掃描。其中防病毒、防火墻和VPN屬早期的被動防護技術(shù)，入侵檢測、入侵防御和漏洞掃描屬主動檢測技術(shù)，這些技術(shù)領(lǐng)域的研究成果已經(jīng)成為眾多信息安全產(chǎn)品的基礎(chǔ)。 </p><p>　　4.3.網(wǎng)絡(luò)的安全策略分析</p><p>　　早期的網(wǎng)絡(luò)防護技術(shù)的出發(fā)點是首先劃分出明確的

32、網(wǎng)絡(luò)邊界，然后通過在網(wǎng)絡(luò)邊界處對流經(jīng)的信息利用各種控制方法進行檢查，只有符合規(guī)定的信息才可以通過網(wǎng)絡(luò)邊界，從而達到阻止對網(wǎng)絡(luò)攻擊、入侵的目的。主要的網(wǎng)絡(luò)防護技術(shù)包括：</p><p><b>　　1).防火墻</b></p><p>　　防火墻是一種隔離控制技術(shù)，通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強制實施訪問控制，常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測技術(shù)、應(yīng)用網(wǎng)關(guān)技

33、術(shù)。包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過；狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性；應(yīng)用網(wǎng)關(guān)技

34、術(shù)在應(yīng)用層實現(xiàn)，它使用一個運行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護網(wǎng)絡(luò)和其他網(wǎng)絡(luò)，其目的在于隱蔽被保護網(wǎng)絡(luò)的具體細節(jié)，保護其中的主機及其數(shù)據(jù)。</p><p><b>　　2).VPN</b></p><p>　　VPN（Virtual Private Network）即虛擬專用網(wǎng)絡(luò)，它是將物理分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)

35、。它可以幫助異地用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商與內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。為了保障信息的安全，VPN技術(shù)采用了鑒別、訪問控制、保密性和完整性等措施，以防止信息被泄露、篡改和復(fù)制。VPN技術(shù)可以在不同的傳輸協(xié)議層實現(xiàn)，如在應(yīng)用層有SSL協(xié)議，它廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序，提供對等的身份認(rèn)證和應(yīng)用數(shù)據(jù)的加密；在會話層有Socks協(xié)議，在該協(xié)議中，客戶程序通過Socks客戶端的1080端口透過防火墻

36、發(fā)起連接，建立到Socks服務(wù)器的VPN隧道；在網(wǎng)絡(luò)層有IPSec協(xié)議，它是一種由IETF設(shè)計的端到端的確保IP層通信安全的機制，對IP包進行的IPSec處理有AH（Authentication Header）和ESP（Encapsulating Security Payload）兩種方式。</p><p><b>　　3). 防毒墻</b></p><p>　　防毒

37、墻是指位于網(wǎng)絡(luò)入口處，用于對網(wǎng)絡(luò)傳輸中的病毒進行過濾的網(wǎng)絡(luò)安全設(shè)備。防火墻能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進行分析，但它對從允許連接的電腦上發(fā)送過來的病毒數(shù)據(jù)流卻是無能為力的，因為它無法識別合法數(shù)據(jù)包中是否存在病毒這一情況；防毒墻則是為了解決防火墻這種防毒缺陷而產(chǎn)生的一種安全設(shè)備。防毒墻使用簽名技術(shù)在網(wǎng)關(guān)處進行查毒工作，阻止網(wǎng)絡(luò)蠕蟲(Worm)和僵尸網(wǎng)絡(luò)(BOT)的擴散。此外，管理人員能夠定義分組的安全策略，以過濾網(wǎng)絡(luò)流量并阻止特定文件傳輸

38、、文件類型擴展名、即時通信信道、批量或單獨的IP/MAC地址，以及TCP/UDP端口和協(xié)議。</p><p>　　4.4. 網(wǎng)絡(luò)檢測技術(shù)分析</p><p>　　人們意識到僅僅依靠防護技術(shù)是無法擋住所有攻擊，于是以檢測為主要標(biāo)志的安全技術(shù)應(yīng)運而生。這類技術(shù)的基本思想是通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動來識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊。包括檢測外界非法入侵者的

39、惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。主要的網(wǎng)絡(luò)安全檢測技術(shù)有：</p><p><b>　　1). 入侵檢測</b></p><p>　　入侵檢測系統(tǒng)（Intrusion Detection System,IDS）是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動來識別針對計算機系統(tǒng)和

40、網(wǎng)絡(luò)系統(tǒng)，包括檢測外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。作為防火墻的有效補充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付已知和未知網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。</p><p><b>　　2). 入侵防御</b></p><p>　　入侵防御系統(tǒng)（Intrusio

41、n Prevention System,IPS）則是一種主動的、積極的入侵防范、阻止系統(tǒng)。IPS是基于IDS的、建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù)，IPS的檢測功能類似于IDS，防御功能類似于防火墻。IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動地檢測網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限；而IPS部署在網(wǎng)絡(luò)的進出口處，當(dāng)它檢測到攻擊企圖后，會自動地將攻擊包丟掉或采取措施將攻擊源阻斷?？梢哉J(rèn)為IPS就是防火墻加上入侵檢測系統(tǒng)，

42、但并不是說IPS可以代替防火墻或入侵檢測系統(tǒng)。防火墻是粒度比較粗的訪問控制產(chǎn)品，它在基于TCP/IP協(xié)議的過濾方面表現(xiàn)出色，同時具備網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計、VPN等功能。</p><p><b>　　3). 漏洞掃描</b></p><p>　　漏洞掃描技術(shù)是一項重要的主動防范安全技術(shù)，它主要通過以下兩種方法來檢查目標(biāo)主機是否存在漏洞：在端口掃描后得知目標(biāo)主

43、機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標(biāo)主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標(biāo)主機系統(tǒng)存在安全漏洞。發(fā)現(xiàn)系統(tǒng)漏洞的一種重要技術(shù)是蜜罐(Honeypot)系統(tǒng)，它是故意讓人攻擊的目標(biāo)，引誘黑客前來攻擊。通過對蜜罐系統(tǒng)記錄的攻擊行為進行分析，來發(fā)現(xiàn)攻擊者的攻擊方法及系統(tǒng)存在的漏洞。</

44、p><p>　　五、網(wǎng)絡(luò)安全的基本特征</p><p><b>　　5.1.機密性</b></p><p>　　信息不泄露給非授權(quán)的個人、實體和過程，或供其使用的特性。在網(wǎng)絡(luò)系統(tǒng)的各個層次上都有不同的機密性及相應(yīng)的防范措施。在物理層，要保證系統(tǒng)實體不以電磁的方式向外泄露信息，在運行層面，要保障系統(tǒng)依據(jù)授權(quán)提供服務(wù)，使系統(tǒng)任何時候都不被非授權(quán)人使用，

45、對黑客入侵、口令攻擊、用戶權(quán)限非法提升、資源非法使用等；</p><p><b>　　5.2.完整性</b></p><p>　　信息未經(jīng)授權(quán)不能被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性；</p><p><b>　　5.3.可用性</b></p><p>　　合法用戶訪問并能按要求

46、順序使用信息的特性，即保證合法用戶在需要時可以訪問到信息及相關(guān)資料。在物理層，要保證信息系統(tǒng)在惡劣的工作環(huán)境下能正常進行。在運行層面，要保證系統(tǒng)時刻能為授權(quán)人提供服務(wù)，保證系統(tǒng)的可用性，使得發(fā)布者無法否認(rèn)所發(fā)布的信息內(nèi)容。接受者無法否認(rèn)所接收的信息內(nèi)容，對數(shù)據(jù)抵賴采取數(shù)字簽名。 </p><p>　　六、網(wǎng)絡(luò)安全現(xiàn)狀分析和發(fā)展方向</p><p>　　隨著計算機和通信技術(shù)的發(fā)展，網(wǎng)絡(luò)信息

47、的安全和保密已成為一個至關(guān)重要且急需解決的問題。計算機網(wǎng)絡(luò)所具有的開放性、互連性和共享性等特征使網(wǎng)上信息安全存在著先天不足，再加上系統(tǒng)軟件中的安全漏洞以及所欠缺的嚴(yán)格管理，致使網(wǎng)絡(luò)易受攻擊，因此網(wǎng)絡(luò)安全所采取的措施應(yīng)能全方位地針對各種不同的威脅，保障網(wǎng)絡(luò)信息的保密性、完整性和可用性?，F(xiàn)有網(wǎng)絡(luò)系統(tǒng)和協(xié)議還是不健全、不完善、不安全的。</p><p>　　網(wǎng)絡(luò)安全是研究與計算機科學(xué)相關(guān)的安全問題，具體地說，網(wǎng)絡(luò)安全研

48、究了安全的存儲、處理或傳輸信息資源的技術(shù)、體制和服務(wù)的發(fā)展、實現(xiàn)和應(yīng)用。每個計算機離不開人，網(wǎng)絡(luò)安全不僅依賴于技術(shù)上的措施，也離不開組織和法律上的措施?？蛻?服務(wù)器計算模式下的網(wǎng)絡(luò)安全研究領(lǐng)域:</p><p>　　一是OSI安全結(jié)構(gòu)定義的安全服務(wù)：鑒別服務(wù)、數(shù)據(jù)機密性服務(wù)、數(shù)據(jù)完整性服務(wù)、訪問控制服務(wù)等；</p><p>　　二是OSI安全結(jié)構(gòu)定義的安全機制：加密、數(shù)字簽名、訪問控制、數(shù)

49、據(jù)完整性、鑒別交換、通信填充等機制以及事件檢測、安全審查跟蹤、安全恢復(fù)；</p><p>　　三是訪問控制服務(wù)：訪問控制服務(wù)中的安全技術(shù)有靜態(tài)分組過濾、動態(tài)分組過濾、鏈路層網(wǎng)關(guān)、應(yīng)用層網(wǎng)關(guān)；</p><p>　　四是通信安全服務(wù)：OSI結(jié)構(gòu)通信安全服務(wù)包括鑒別、數(shù)據(jù)機密性和完整性和不可抵賴服務(wù)；</p><p>　　五是網(wǎng)絡(luò)存活性：目前對Internet存活性的研究

50、目的是開發(fā)一種能保護網(wǎng)絡(luò)和分布式系統(tǒng)免遭拒絕服務(wù)攻擊的技術(shù)和機制。</p><p>　　網(wǎng)絡(luò)管理的趨勢是向分布式、智能化和綜合化方向發(fā)展:</p><p>　　1).基于Web的管理。www以其能簡單、有效地獲取如文本、圖形、聲音與視頻等不同類型的數(shù)據(jù)在Internet上廣為使用；</p><p>　　2).基于CORBA的管理。公共對象請求代理體系結(jié)構(gòu)CORBA是

51、由對象管理小組為開發(fā)面向?qū)ο蟮膽?yīng)用程序提供的一個通用框架結(jié)構(gòu)；</p><p>　　3).采用Java技術(shù)管理。Java用于異購分布式網(wǎng)絡(luò)環(huán)境的應(yīng)用程序開發(fā)，它提供了一個易移植、安全、高性能、簡單、多線程和面向?qū)ο蟮沫h(huán)境，實現(xiàn)“一次編譯，到處運行”。將Java技術(shù)集成至網(wǎng)絡(luò)管理，可以有助于克服傳統(tǒng)的純SNMP的一些問題，降低網(wǎng)絡(luò)管理的復(fù)雜性。</p><p>　　七、計算機網(wǎng)絡(luò)安全的對策

52、</p><p>　　7.1.技術(shù)層面對策 </p><p>　　對于技術(shù)方面，計算機網(wǎng)絡(luò)安全技術(shù)主要有實時掃描技術(shù)、實時監(jiān)測技術(shù)、防火墻、完整性檢驗保護技術(shù)、病毒情況分析報告技術(shù)和系統(tǒng)安全管理技術(shù)。綜合起來，技術(shù)層面可以采取以下對策：</p><p>　　1) 建立安全管理制度。提高包括系統(tǒng)管理員和用戶在內(nèi)的人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。對重要部門和信息，嚴(yán)格做好

53、開機查毒，及時備份數(shù)據(jù)，這是一種簡單有效的方法。 </p><p>　　2) 網(wǎng)絡(luò)訪問控制。訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略。它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。 </p><p>　　3) 數(shù)據(jù)庫的備份與恢復(fù)。數(shù)據(jù)庫的備份與恢復(fù)是數(shù)據(jù)庫管理

54、員維護數(shù)據(jù)安全性和完整性的重要操作。備份是恢復(fù)數(shù)據(jù)庫最容易和最能防止意外的保證方法?；謴?fù)是在意外發(fā)生后利用備份來恢復(fù)數(shù)據(jù)的操作。有三種主要備份策略：只備份數(shù)據(jù)庫、備份數(shù)據(jù)庫和事務(wù)日志、增量備份。</p><p>　　4) 應(yīng)用密碼技術(shù)。應(yīng)用密碼技術(shù)是信息安全核心技術(shù)，密碼手段為信息安全提供了可靠保證?；诿艽a的數(shù)字簽名和身份認(rèn)證是當(dāng)前保證信息完整性的最主要方法之一，密碼技術(shù)主要包括古典密碼體制、單鑰密碼體制、公鑰

55、密碼體制、數(shù)字簽名以及密鑰管理。 </p><p>　　5) 切斷傳播途徑。對被感染的硬盤和計算機進行徹底殺毒處理，不使用來歷不明的U 盤和程序,不隨意下載網(wǎng)絡(luò)可疑信息。 6) 提高網(wǎng)絡(luò)反病毒技術(shù)能力。通過安裝病毒防火墻，進行實時過濾。對網(wǎng)絡(luò)服務(wù)器中的文件進行頻繁掃描和監(jiān)測，在工作站上采用防病毒卡，加強網(wǎng)絡(luò)目錄和文件訪問權(quán)限的設(shè)置。在網(wǎng)絡(luò)中，限制只能由服務(wù)器才允許執(zhí)行的文件。 </p><

56、;p>　　7) 研發(fā)并完善高安全的操作系統(tǒng)。研發(fā)具有高安全的操作系統(tǒng)，不給病毒得以滋生的溫床才能更安全。 </p><p>　　7.2.管理層面對策 </p><p>　　總之，計算機網(wǎng)絡(luò)的安全管理，不僅要看所采用的安全技術(shù)和防范措施，而且要看它所采取的管理措施和執(zhí)行計算機安全保護法律、法規(guī)的力度。只有將兩者緊密結(jié)合，才能使計算機網(wǎng)絡(luò)安全確實有效。 </p><p

57、>　　計算機網(wǎng)絡(luò)的安全管理，包括對計算機用戶的安全教育、建立相應(yīng)的安全管理機構(gòu)、不斷完善和加強計算機的管理功能、加強計算機及網(wǎng)絡(luò)的立法和執(zhí)法力度等方面。加強計算機安全管理、加強用戶的法律、法規(guī)和道德觀念，提高計算機用戶的安全意識，對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾，是十分重要的措施。 </p><p>　　這就要對計算機用戶不斷進行法制教育，包括計算機安全法、計算機犯罪法、保密法、數(shù)據(jù)保護法

58、等，明確計算機用戶和系統(tǒng)管理人員應(yīng)履行的權(quán)利和義務(wù)，自覺遵守合法信息系統(tǒng)原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則，自覺地和一切違法犯罪的行為作斗爭，維護計算機及網(wǎng)絡(luò)系統(tǒng)的安全，維護信息系統(tǒng)的安全。除此之外，還應(yīng)教育計算機用戶和全體工作人員，應(yīng)自覺遵守為維護系統(tǒng)安全而建立的一切規(guī)章制度，包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛(wèi)管理制度、專機專用和嚴(yán)格分工等管理制度。&

59、lt;/p><p>　　7.3.物理安全層面對策 </p><p>　　要保證計算機網(wǎng)絡(luò)系統(tǒng)的安全、可靠，必須保證系統(tǒng)實體有個安全的物理環(huán)境條件。這個安全的環(huán)境是指機房及其設(shè)施，主要包括以下內(nèi)容： </p><p>　　1).計算機系統(tǒng)的環(huán)境條件。計算機系統(tǒng)的安全環(huán)境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面，都要有具體的要求和嚴(yán)格的標(biāo)準(zhǔn)

60、。 </p><p>　　2).機房場地環(huán)境的選擇。計算機系統(tǒng)選擇一個合適的安裝場所十分重要。它直接影響到系統(tǒng)的安全性和可靠性。選擇計算機房場地，要注意其外部環(huán)境安全性、地質(zhì)可靠性、場地抗電磁干擾性，避開強振動源和強噪聲源，并避免設(shè)在建筑物高層和用水設(shè)備的下層或隔壁。還要注意出入口的管理。</p><p>　　3).機房的安全防護。機房的安全防護是針對環(huán)境的物理災(zāi)害和防止未授權(quán)的個人或團體

61、破壞、篡改或盜竊網(wǎng)絡(luò)設(shè)施、重要數(shù)據(jù)而采取的安全措施和對策。為做到區(qū)域安全，首先，應(yīng)考慮物理訪問控制來識別訪問用戶的身份，并對其合法性進行驗證；其次，對來訪者必須限定其活動范圍；第三，要在計算機系統(tǒng)中心設(shè)備外設(shè)多層安全防護圈，以防止非法暴力入侵；第四設(shè)備所在的建筑物應(yīng)具有抵御各種自然災(zāi)害的設(shè)施。 </p><p>　　7.4.網(wǎng)絡(luò)安全管理 </p><p>　　網(wǎng)絡(luò)安全管理是指對所有計算機網(wǎng)

62、絡(luò)應(yīng)用體系中各個方面的安全技術(shù)和產(chǎn)品進行統(tǒng)一的管理和協(xié)調(diào)，進而從整體上提高整個計算機網(wǎng)絡(luò)的防御入侵、抵抗攻擊的能力體系。最初人們對網(wǎng)絡(luò)安全的普遍認(rèn)識是單點式的、分散的安全管理。一個系統(tǒng)中采用各類不同的安全設(shè)施實現(xiàn)不同的安全功能，目前大部分單個的網(wǎng)絡(luò)安全管理工具比較分散，各個安全功能需要分別進行配置，不同的管理工具之間缺乏連通性，但是由各種技術(shù)和產(chǎn)品構(gòu)成的系統(tǒng)日益復(fù)雜。管理員如果要實現(xiàn)一個整體安全策略需要對不同的設(shè)備分別進行設(shè)置，特別是在

63、全局安全策略需要進調(diào)整時，很難考慮周全和實現(xiàn)全局的一致性。</p><p><b>　　八、結(jié)束語</b></p><p>　　隨著計算機技術(shù)和通信技術(shù)的發(fā)展，信息系統(tǒng)將日益成為企業(yè)的重要信息交換手段。因此，認(rèn)清信息系統(tǒng)的脆弱性和潛在威脅，采取必要的安全策略，對于保障信息系統(tǒng)的安全性將十分重要。同時，信息系統(tǒng)技術(shù)目前正處于蓬勃發(fā)展的階段，新技術(shù)層出不窮，其中也不可避免

64、的存在一些漏洞，因此，進行信息系統(tǒng)安全防范要不斷追蹤新技術(shù)的應(yīng)用情況，及時升級、完善自身的防御措施。網(wǎng)絡(luò)安全是一個復(fù)雜的問題， 涉及法律、 管理和技術(shù)等綜合方面。 只有協(xié)調(diào)好三者之間的關(guān)系，構(gòu)建完善的安全體系，才能有效地保護網(wǎng)絡(luò)安全也，是一個永遠說不完的話題,關(guān)于如何解決好網(wǎng)絡(luò)安全問題,網(wǎng)絡(luò)安全技術(shù)與工具是網(wǎng)絡(luò)安全的基礎(chǔ),高水平的網(wǎng)絡(luò)安全技術(shù)隊伍是網(wǎng)絡(luò)安全的保證,嚴(yán)格的管理則是網(wǎng)絡(luò)安全的關(guān)鍵。我們要清醒認(rèn)識到任何網(wǎng)絡(luò)安全和數(shù)據(jù)保護的防范

65、措施都是有一定的限度,一勞永逸的網(wǎng)絡(luò)安全體系是不存在的。網(wǎng)絡(luò)安全需要我們每一個人的參與。</p><p><b>　　參考文獻：</b></p><p>　　[1]Chrustopger M.King Curtis E.Dakton T.Ertem Osmanoglu:安全體系結(jié)構(gòu)的設(shè)計、部署與操作.清華大學(xué)出版社,2003,4(1).</p>&l

66、t;p>　　[2]葛秀慧:計算機網(wǎng)絡(luò)安全管理(第2版).清華大學(xué)出版社, 2008,5.</p><p>　　[3]胡錚等:網(wǎng)絡(luò)與信息安全.清華大學(xué)出版社,2006,5.</p><p>　　[4]胡道元、閔京華:網(wǎng)絡(luò)安全.科技信息,2005,10.</p><p>　　[5]王群:計算機網(wǎng)絡(luò)安全技術(shù).清華大學(xué)出版社,2008,7.轉(zhuǎn)</p>&

67、lt;p>　　[6]賈晶，陳元，王麗娜編著，信息系統(tǒng)的安全與保密，第一版，1999.01，清華大學(xué)出版社 </p><p>　　[7]程勝利，談冉，熊文龍，程煌，計算機病毒及其防治技術(shù)，2004.09,清華大學(xué)出版社 </p><p>　　[8]張小磊，計算機病毒診斷與防治，2003，中國環(huán)境科學(xué)出版社,東軟集團有限公司，NetEye防火墻使用指南3.0，1-3 </p>

68、<p>　　[9]段鋼，加密與解密，第二版，2004.01，電子工業(yè)出版社 </p><p>　　[10]張劍，網(wǎng)絡(luò)安全防御系統(tǒng)的設(shè)計與實現(xiàn)，電子科技大學(xué)碩士學(xué)位論文，2001.01 </p><p>　　[11]黑客防線2005精華奉獻本上、下冊，人民郵電出版社，2005 </p><p>　　[12]陸浪如，信息安全評估標(biāo)準(zhǔn)的研究與信息安全系統(tǒng)的設(shè)

69、計，解放軍信息工程大學(xué)軍事學(xué)博士學(xué)位論文，2001.06 </p><p>　　[13]黃月江,信息安全與保密,北京:國防工業(yè)出版社，1999 </p><p>　　[14]YUJian-ping1,XIEWei-xin1,YANQiao,securityanditsdefencetechniquesSemiconductorTechnologyVol.27No.1</p>