第一篇：計算機網(wǎng)絡安全問題淺析論文

畢業(yè)論文

論文題目： 計算機網(wǎng)絡安全問題淺析

專 業(yè)： 計算機信息管理 作 者： 韓子厚 學 校： 天津城市建設管理職業(yè)技術(shù)學院 指導教師：

2011年 月 日

目錄

內(nèi)容摘要.............................................................2 計算機網(wǎng)絡安全.......................................................3

第一章 方案目標......................................................3 第二章 安全需求......................................................3 第三章 風險分析......................................................4 第四章 解決方案......................................................4 參考文獻............................................................11 致謝................................................................12

內(nèi)容摘要

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡安全逐漸成為一個潛在的巨大問題。網(wǎng)絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網(wǎng)絡安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時間和金錢上是很充足、富有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。

關(guān)鍵詞 互聯(lián)網(wǎng) 網(wǎng)絡安全 遠程服務 編程 數(shù)據(jù)

計算機網(wǎng)絡安全

第一章 方案目標

本方案主要從網(wǎng)絡層次考慮，將網(wǎng)絡系統(tǒng)設計成一個支持各級別用戶或用戶群的安全網(wǎng)絡，該網(wǎng)在保證系統(tǒng)內(nèi)部網(wǎng)絡安全的同時，還實現(xiàn)與Internet或國內(nèi)其它網(wǎng)絡的安全互連。本方案在保證網(wǎng)絡安全可以滿足各種用戶的需求，比如：可以滿足個人的通話保密性，也可以滿足企業(yè)客戶的計算機系統(tǒng)的安全保障，數(shù)據(jù)庫不被非法訪問和破壞，系統(tǒng)不被病毒侵犯，同時也可以防止諸如反動淫穢等有害信息在網(wǎng)上傳播等。

需要明確的是，安全技術(shù)并不能杜絕所有的對網(wǎng)絡的侵擾和破壞，它的作用僅在于最大限度地防范，以及在受到侵擾的破壞后將損失盡旦降低。具體地說，網(wǎng)絡安全技術(shù)主要作用有以下幾點：

1．采用多層防衛(wèi)手段，將受到侵擾和破壞的概率降到最低； 2．提供迅速檢測非法使用和非法初始進入點的手段，核查跟蹤侵入者的活動；

3．提供恢復被破壞的數(shù)據(jù)和系統(tǒng)的手段，盡量降低損失； 4．提供查獲侵入者的手段。

網(wǎng)絡安全技術(shù)是實現(xiàn)安全管理的基礎(chǔ)，近年來，網(wǎng)絡安全技術(shù)得到了迅猛發(fā)展，已經(jīng)產(chǎn)生了十分豐富的理論和實際內(nèi)容。

第二章 安全需求

通過對網(wǎng)絡系統(tǒng)的風險分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。即，可用性： 授權(quán)實體有權(quán)訪問數(shù)據(jù)

機密性： 信息不暴露給未授權(quán)實體或進程 完整性： 保證數(shù)據(jù)不被未授權(quán)修改

可控性： 控制授權(quán)范圍內(nèi)的信息流向及操作方式 可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段

訪問控制：需要由防火墻將內(nèi)部網(wǎng)絡與外部不可信任的網(wǎng)絡隔離，對與外部網(wǎng)絡交換數(shù)據(jù)的內(nèi)部網(wǎng)絡及其主機、所交換的數(shù)據(jù)進行嚴格的訪問控制。同樣，對內(nèi)部網(wǎng)絡，由于不同的應用業(yè)務以及不同的安全級別，也需要使用防火墻將不同的LAN或網(wǎng)段進行隔離，并實現(xiàn)相互的訪問控制。

數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。

安全審計： 是識別與防止網(wǎng)絡攻擊行為、追查網(wǎng)絡泄密行為的重要措施之一。具體包括兩方面的內(nèi)容，一是采用網(wǎng)絡監(jiān)控與入侵防范系統(tǒng)，識別網(wǎng)絡各種違規(guī)操作與攻擊行為，即時響應（如報警）并進行阻斷；二是對信息內(nèi)容的審計，可以防止內(nèi)部機密或敏感信息的非法泄漏

第三章 風險分析

網(wǎng)絡安全是網(wǎng)絡正常運行的前提。網(wǎng)絡安全不單是單點的安全，而是整個信息網(wǎng)的安全，需要從物理、網(wǎng)絡、系統(tǒng)、應用和管理方面進行立體的防護。要知道如何防護，首先需要了解安全風險來自于何處。網(wǎng)絡安全系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成網(wǎng)絡的中斷。根據(jù)國內(nèi)網(wǎng)絡系統(tǒng)的網(wǎng)絡結(jié)構(gòu)和應用情況，應當從網(wǎng)絡安全、系統(tǒng)安全、應用安全及管理安全等方面進行全面地分析。

風險分析是網(wǎng)絡安全技術(shù)需要提供的一個重要功能。它要連續(xù)不斷地對網(wǎng)絡中的消息和事件進行檢測，對系統(tǒng)受到侵擾和破壞的風險進行分析。風險分析必須包括網(wǎng)絡中所有有關(guān)的成分。

第四章 解決方案

4.1 設計原則

針對網(wǎng)絡系統(tǒng)實際情況，解決網(wǎng)絡的安全保密問題是當務之急，考慮技術(shù)難度及經(jīng)費等因素，設計時應遵循如下思想：

1．大幅度地提高系統(tǒng)的安全性和保密性；

2．保持網(wǎng)絡原有的性能特點，即對網(wǎng)絡的協(xié)議和傳輸具有很好的透明性；

3．易于操作、維護，并便于自動化管理，而不增加或少增加附加操作； 4．盡量不影響原網(wǎng)絡拓撲結(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能的擴展； 5．安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用； 6．安全與密碼產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認可或認證；

7．分步實施原則：分級管理 分步實施。4.2 安全策略

針對上述分析，我們采取以下安全策略：

1．采用漏洞掃描技術(shù)，對重要網(wǎng)絡設備進行風險評估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運行。

2．采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：

(1)防火墻技術(shù)：在網(wǎng)絡的對外接口，采用防火墻技術(shù)，在網(wǎng)絡層進行訪問控制。

(2)NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡信息。

(3)VPN：虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡上的延伸,通過一個私有的通道在公共網(wǎng)絡上創(chuàng)建一個安全的私有連接。它通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機構(gòu)、公司業(yè)務伙伴等與公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡的存在，仿佛所有的機器都處于一個網(wǎng)絡之中。公共網(wǎng)絡似乎只由本網(wǎng)絡在獨占使用，而事實上并非如此。

(4）網(wǎng)絡加密技術(shù)(Ipsec)：采用網(wǎng)絡加密技術(shù)，對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝，實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾浴Ｋ山鉀Q網(wǎng)絡在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠程用戶訪問內(nèi)網(wǎng)的安全問題。

(5)認證：提供基于身份的認證，并在各種認證機制中可選擇使用。(6)多層次多級別的企業(yè)級的防病毒系統(tǒng)：采用多層次多級別的企業(yè)級的防病毒系統(tǒng)，對病毒實現(xiàn)全面的防護。

(7）網(wǎng)絡的實時監(jiān)測：采用入侵檢測系統(tǒng)，對主機和網(wǎng)絡進行監(jiān)測和預警，進一步提高網(wǎng)絡防御外來攻擊的能力。

3．實時響應與恢復：制定和完善安全管理制度，提高對網(wǎng)絡攻擊等實時響應與恢復能力。

4．建立分層管理和各級安全管理中心。4.3 防御系統(tǒng)

我們采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡加密技術(shù)（Ipsec）、身份認證技術(shù)、多層次多級別的防病毒系統(tǒng)、入侵檢測技術(shù)，構(gòu)成網(wǎng)絡安全的防御系統(tǒng)。4.3.1 物理安全

物理安全是保護計算機網(wǎng)絡設備、設施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。

為保證信息網(wǎng)絡系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴散。通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構(gòu)在興建信息中心時首要的設置的條件。

為保證網(wǎng)絡的正常運行，在物理安全方面應采取如下措施：

1．產(chǎn)品保障方面：主要指產(chǎn)品采購、運輸、安裝等方面的安全措施。2．運行安全方面：網(wǎng)絡中的設備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務。對一些關(guān)鍵設備和系統(tǒng)，應設置備份系統(tǒng)。

3．防電磁輻射方面：所有重要涉密的設備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機。

4．保安方面：主要是防盜、防火等，還包括網(wǎng)絡系統(tǒng)所有網(wǎng)絡設備、計算機、安全設備的安全防護。4.3.2 防火墻技術(shù)

防火墻是一種網(wǎng)絡安全保障手段,是網(wǎng)絡通信時執(zhí)行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網(wǎng)絡的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護的網(wǎng)絡遭外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡和Internet之間地任何活動，保證了內(nèi)部網(wǎng)絡地安全；在物

理實現(xiàn)上，防火墻是位于網(wǎng)絡特殊位置地以組硬件設備――路由器、計算機或其他特制地硬件設備。防火墻可以是獨立地系統(tǒng)，也可以在一個進行網(wǎng)絡互連地路由器上實現(xiàn)防火墻。用防火墻來實現(xiàn)網(wǎng)絡安全必須考慮防火墻的網(wǎng)絡拓撲結(jié)構(gòu)：

（1）屏蔽路由器：又稱包過濾防火墻。

（2）雙穴主機：雙穴主機是包過濾網(wǎng)關(guān)的一種替代。（3）主機過濾結(jié)構(gòu)：這種結(jié)構(gòu)實際上是包過濾和代理的結(jié)合。（4）屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機和被屏蔽主機的變形。根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。4.3.2.1 包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡中的分包傳輸技術(shù)。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。4.3.2.2 網(wǎng)絡地址轉(zhuǎn)化—NAT 網(wǎng)絡地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡中每一臺機器取得注冊的IP地址。在內(nèi)部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡地址。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡時，它并不知道內(nèi)部網(wǎng)絡的連接情況，而只

是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。4.3.2.3 代理型

代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務器,代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù),然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)。代理型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置,大大增加了系統(tǒng)管理的復雜性。

4.3.2.4 監(jiān)測型

監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網(wǎng)絡的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用。據(jù)權(quán)威機構(gòu)統(tǒng)計,在針對網(wǎng)絡系統(tǒng)的攻擊中,有相當比例的攻擊來自網(wǎng)絡內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品,雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開

始使用監(jiān)測型防火墻。基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本。實際上,作為當前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務器(也稱應用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應用的,應用網(wǎng)關(guān)能提供對協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡的信息外泄。正是由于應用網(wǎng)關(guān)的這些特點,使得應用過程中的矛盾主要集中在對多種網(wǎng)絡應用協(xié)議的有效支持和對網(wǎng)絡整體性能的影響上。相關(guān)性：畢業(yè)論文,免費畢業(yè)論文,大學畢業(yè)論文,畢業(yè)論文模板 4.3.3 入侵檢測

入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為

是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務來實現(xiàn)：

1．監(jiān)視、分析用戶及系統(tǒng)活動； 2．系統(tǒng)構(gòu)造和弱點的審計；

3．識別反映已知進攻的活動模式并向相關(guān)人士報警； 4．異常行為模式的統(tǒng)計分析； 5．評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

6．操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。4.4 安全服務

網(wǎng)絡是個動態(tài)的系統(tǒng)，它的變化包括網(wǎng)絡設備的調(diào)整，網(wǎng)絡配置的變化，各種操作系統(tǒng)、應用程序的變化，管理人員的變化。即使最初制定的安全策略十分可靠，但是隨著網(wǎng)絡結(jié)構(gòu)和應用的不斷變化，安全策略可能失效，必須及時進行相應的調(diào)整。針對以上問題和網(wǎng)管人員的不足，下面介紹一系列比較重要的網(wǎng)絡服務。包括：

4.4.1 通信伙伴認證

通信伙伴認證服務的作用是通信伙伴之間相互確庥身份，防止他人插入通信過程。認證一般在通信之前進行。但在必要的時候也可以在通信過程中隨時進行。認證有兩種形式，一種是檢查一方標識的單方認證，一種是通信雙方相互檢查對方標識的相互認證。

通信伙伴認證服務可以通過加密機制，數(shù)字簽名機制以及認證機制實現(xiàn)。4.4.2 訪問控制

訪問控制服務的作用是保證只有被授權(quán)的用戶才能訪問網(wǎng)絡和利用資源。訪問控制的基本原理是檢查用戶標識，口令，根據(jù)授予的權(quán)限限制其對資源的利用范圍和程度。例如是否有權(quán)利用主機CPU運行程序，是否有權(quán)對數(shù)據(jù)庫進行查詢和修改等等。訪問控制服務通過訪問控制機制實現(xiàn)。4.4.3 數(shù)據(jù)保密

數(shù)據(jù)保密服務的作用是防止數(shù)據(jù)被無權(quán)者閱讀。數(shù)據(jù)保密既包括存儲中的數(shù)據(jù)，也包括傳輸中的數(shù)據(jù)。保密查以對特定文件，通信鏈路，甚至文件中指定的字段進行。

數(shù)據(jù)保密服務可以通過加密機制和路由控制機制實現(xiàn)。4.4.4 業(yè)務流分析保護

業(yè)務流分析保護服務的作用是防止通過分析業(yè)務流，來獲取業(yè)務量特征，信息長度以及信息源和目的地等信息。

業(yè)務流分析保護服務可以通過加密機制，偽裝業(yè)務流機制，路由控制機制實現(xiàn)。

4.4.5 數(shù)據(jù)完整性保護

數(shù)據(jù)完整性保護服務的作用是保護存儲和傳輸中的數(shù)據(jù)不被刪除，更改，插入和重復，必要時該服務也可以包含一定的恢復功能。數(shù)據(jù)完整性保護服務可以通過加密機制，數(shù)字簽名機制以及數(shù)據(jù)完整性機制實現(xiàn) 4.4.6 簽字

簽字服務是用發(fā)送簽字的辦法來對信息的接收進行確認，以證明和承認信息是由簽字者發(fā)出或接收的。這個服務的作用在于避免通信雙方對信息的來源發(fā)生爭議。簽字服務通過數(shù)字簽名機制及公證機制實現(xiàn)。4.5 安全技術(shù)的研究現(xiàn)狀和動向

我國信息網(wǎng)絡安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段，正在進入網(wǎng)絡信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡安全領(lǐng)域是一個綜合、交叉的學科領(lǐng)域它綜合了利用數(shù)學、物理、生化信息技術(shù)和計算機技術(shù)的諸多學科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡安全的方案，目前應從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體。國際上信息安全研究起步較早，力度大，積累多，應用廣，在70年代美國的網(wǎng)絡安全技術(shù)基礎(chǔ)理論研究成果“計算機保密模型”（Beu& La padula模型）的基礎(chǔ)上，指定了“

可信計算機系統(tǒng)安全評估準則”（TCSEC），其后又制定了關(guān)于網(wǎng)絡系統(tǒng)數(shù)據(jù)庫方面和系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的準則。

結(jié)論

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡安全逐漸成為一個潛在的巨大問題。網(wǎng)絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

本論文從多方面描述了網(wǎng)絡安全的解決方案，目的在于為用戶提供信息的保密，認證和完整性保護機制，使網(wǎng)絡中的服務，數(shù)據(jù)以及系統(tǒng)免受侵擾和破壞。比如防火墻，認證，加密技術(shù)等都是當今常用的方法，本論文從這些方法入手深入研究各個方面的網(wǎng)絡安全問題的解決，可以使讀者有對網(wǎng)絡安全技術(shù)的更深刻的了解。

參考文獻

[1] 韓希義, 計算機網(wǎng)絡基礎(chǔ),北京高等教育出版社，2004 [2]徐敬東等, 計算機網(wǎng)絡, 北京清華大學出版社，2002

[3]沈輝等, 計算機網(wǎng)絡工程與實訓,北京清華大學出版社，2002 [4] 褚建立等, 計算機網(wǎng)絡技術(shù)實用教程,北京電子工業(yè)出版社，2003 [5] 劉化君, 計算機網(wǎng)絡原理與技術(shù),北京電子工業(yè)出版社，2005 [6] 謝希仁, 計算機網(wǎng)絡, 北京電子工業(yè)出版社，1999 [7] 陸姚遠, 計算機網(wǎng)絡技術(shù), 北京高等教育出版社，2000 [8] 劉習華等, 網(wǎng)絡工程,重慶大學出版社，2004 [9] 彭澎, 計算機網(wǎng)絡實用教程,北京電子工業(yè)出版社，2000 [10] 陳月波, 使用組網(wǎng)技術(shù)實訓教程,北京科學出版社，2003 致謝

本研究及學位論文是在我的導師 副教授的親切關(guān)懷和悉心指導下完成的。他嚴肅的科學態(tài)度，嚴謹?shù)闹螌W精神，精益求精的工作作風，深深地感染和激勵著我。從課題的選擇到項目的最終完成，鄭老師都始終給予我細心的指導和不懈的支持。兩年多來，鄭教授不僅在學業(yè)上給我以精心指導，同時還在思想、生活上給我以無微不至的關(guān)懷，在此謹向鄭老師致以誠摯的謝意和崇高的敬意。

在此，我還要感謝在一起愉快的度過研究生生活的 各位同門，正是由于你們的幫助和支持，我才能克服一個一個的困難和疑惑，直至本文的順利完成。特別感謝我的師妹葉秋香同學，她對本課題做了不少工作，給予我不少的幫助。

在論文即將完成之際，我的心情無法平靜，從開始進入課題到論文的順利完成，有多少可敬的師長、同學、朋友給了我無言的幫助，在這里請接受我誠摯的謝意!最后我還要感謝培養(yǎng)我長大含辛茹苦的父母，謝謝你們!

第二篇：淺談計算機網(wǎng)絡安全問題與對策論文

淺談計算機網(wǎng)絡問題與對策

摘 要：

隨著計算機信息技術(shù)的迅猛發(fā)展，計算機網(wǎng)絡已經(jīng)越發(fā)成為農(nóng)業(yè)、工業(yè)、第三產(chǎn)業(yè)和國防工業(yè)的重要信息交換媒介，并且滲透到社會生活的各個角落。因此，認清網(wǎng)絡的脆弱性和潛在威脅的嚴重性，采取強有力安全策略勢在必行。計算機網(wǎng)絡安全工作是一項長期而艱巨的任務，它應該貫徹于整個信息網(wǎng)絡的籌劃、組成、測試的全過程。本文結(jié)合實際情況，分析網(wǎng)絡安全問題并提出相應對策。

Take to:

With the rapid development of computer information technology, computer network has become agriculture, industry, the tertiary industry and defense industry important information medium of exchange, and penetrated into every corner of social life.Therefore, clear understanding of network vulnerabilities and potential threats, to take strong security strategy be imperative.Computer network security work is a long-term and arduous task, it should be applied in the information network planning, composition, testing the entire process.In this paper, combined with the actual situation, the analysis of network security problems and corresponding countermeasures.關(guān)鍵詞：計算機；網(wǎng)絡安全；網(wǎng)絡威脅；

一、前言

隨著計算機技術(shù)的迅速發(fā)展，在計算機上完成的工作已由基于單機的文件處理、自動化辦公，發(fā)展到今天的企業(yè)內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)和國際互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務處理，也就是我們常說的局域網(wǎng)、城域網(wǎng)和廣域網(wǎng)。計算機網(wǎng)絡的應用領(lǐng)域已從傳統(tǒng)的小型業(yè)務系統(tǒng)逐漸向大型業(yè)務系統(tǒng)擴展。計算機網(wǎng)絡在為人們提供便利、帶來效益的同時，也使人類面臨著信息安全的巨大挑戰(zhàn)。

組織和單位的計算機網(wǎng)絡是黑客攻擊的主要目標。如果黑客組織能攻破組織及單位的計算機網(wǎng)絡防御系統(tǒng)，他就有訪問成千上萬計算機的可能性。據(jù)統(tǒng)計，近年來因網(wǎng)絡安全事故造成的損失每年高達上千億美元。計算機系統(tǒng)的脆弱性已為各國政府與機構(gòu)所認識。

二、計算機通信網(wǎng)絡安全概述

所謂計算機通信網(wǎng)絡安全，是指根據(jù)計算機通信網(wǎng)絡特性，通過相應的安全技術(shù)和措施，對計算機通信網(wǎng)絡的硬件、操作系統(tǒng)、應用軟件和數(shù)據(jù)等加以保護，防止遭到破壞或竊取，其實質(zhì)就是要保護計算機通訊系統(tǒng)和通信網(wǎng)絡中的各種信息資源免受各種類型的威脅、干擾和破壞。計算機通信網(wǎng)絡的安全是指揮、控制信息安全的重要保證。

根據(jù)國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中心的權(quán)威統(tǒng)計，通過分布式密網(wǎng)捕獲的新的漏洞攻擊惡意代碼數(shù)量平均每天112次，每天捕獲最多的次數(shù)高達4369 次。因此，隨著網(wǎng)絡一體化和互聯(lián)互通，我們必須加強計算機通信網(wǎng)絡安全防范意思，提高防范手段。

三、影響計算機通信網(wǎng)絡安全的因素分析

計算機通信網(wǎng)絡的安全涉及到多種學科，包括計算機科學、網(wǎng)絡技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應用數(shù)學、數(shù)論、信息論等十數(shù)種，這些技術(shù)各司其職，保護網(wǎng)絡系統(tǒng)的硬件、軟件以及系統(tǒng)中的數(shù)據(jù)免遭各種因素的破壞、更改、泄露，保證系統(tǒng)連續(xù)可靠正常運行。

3.1影響計算機通信網(wǎng)絡安全的客觀因素。

3.1.1網(wǎng)絡資源的共享性。計算機網(wǎng)絡最主要的一個功能就是“資源共享”。無論你是在天涯海角，還是遠在天邊，只要有網(wǎng)絡，就能找到你所需要的信息。所以，資源共享的確為我們提供了很大的便利，但這為系統(tǒng)安全的攻擊者利用共享的資源進行破壞也提供了機會。

3.1.2網(wǎng)絡操作系統(tǒng)的漏洞。操作系統(tǒng)漏洞是指計算機操作系統(tǒng)本身所存在的問題或技術(shù)缺陷。由于網(wǎng)絡協(xié)議實現(xiàn)的復雜性，決定了操作系統(tǒng)必然存在各種的缺陷和漏洞。

3.1.3網(wǎng)絡系統(tǒng)設計的缺陷。網(wǎng)絡設計是指拓撲結(jié)構(gòu)的設計和各種網(wǎng)絡設備的選擇等。網(wǎng)絡設備、網(wǎng)絡協(xié)議、網(wǎng)絡操作系統(tǒng)等都會直接帶來安全隱患。

3.1.4網(wǎng)絡的開放性。網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個企業(yè)、單位以及個人的信息。

3.1.5惡意攻擊。惡意攻擊就是人們常見的黑客攻擊及網(wǎng)絡病毒．是最難防范的網(wǎng)絡安全威脅。隨著電腦教育的大眾化，這類攻擊也越來越多，影響越來越大。無論是DOS 攻擊還是DDOS 攻擊，簡單的看，都只是一種破壞網(wǎng)絡服務的黑客方式，雖然具體的實現(xiàn)方式千變?nèi)f化，但都有一個共同點，就是其根本目的是使受害主機或網(wǎng)絡無法及時接收并處理外界請求，或無法及時回應外界請求。具體表現(xiàn)方式有以下幾種：（1）制造大流量無用數(shù)據(jù)，造成通往被攻擊主機的網(wǎng)絡擁塞，使被攻擊主機無法正常和外界通信。

（2）利用被攻擊主機提供服務或傳輸協(xié)議上處理重復連接的缺陷，反復高頻的發(fā)出攻擊性的重復服務請求，使被攻擊主機無法及時處理其它正常的請求。（3）利用被攻擊主機所提供服務程序或傳輸協(xié)議的本身實現(xiàn)缺陷，反復發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯誤而分配大量系統(tǒng)資源，使主機處于掛起狀態(tài)甚至死機。

DOS 攻擊幾乎是從互聯(lián)網(wǎng)絡的誕生以來，就伴隨著互聯(lián)網(wǎng)絡的發(fā)展而一直存在也不斷發(fā)展和升級。值得一提的是，要找DOS 的工具一點不難，黑客網(wǎng)絡社區(qū)都有共享黑客軟件的傳統(tǒng)，并會在一起交流攻擊的心得經(jīng)驗，你可以很輕松的從Internet 上獲得這些工具。所以任何一個上網(wǎng)者都可能構(gòu)成網(wǎng)絡安全的潛在威脅。DOS 攻擊給飛速發(fā)展的互聯(lián)網(wǎng)絡安全帶來重大的威脅。然而從某種程度上可以說，D0S 攻擊永遠不會消失而且從技術(shù)上目前沒有根本的解決辦法。

3.2影響計算機網(wǎng)絡通信安全的主觀因素。主要是計算機系統(tǒng)網(wǎng)絡管理人員缺乏安全觀念和必備技術(shù)，如安全意識、防范意思等。

四、計算機網(wǎng)絡的安全策略

4.1物理安全策略。物理安全策略目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。物理安全策略還包括加強網(wǎng)絡的安全管理，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡的安全、可靠地運行，將起到十分有效的作用。網(wǎng)絡安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關(guān)網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡系統(tǒng)的維護制度和應急措施等。

4.2常用的網(wǎng)絡安全技術(shù)。

由于網(wǎng)絡所帶來的諸多不安全因素，使得網(wǎng)絡使用者必須采取相應的網(wǎng)絡安全技術(shù)來堵塞安全漏洞和提供安全的通信服務。如今，快速發(fā)展的網(wǎng)絡安全技術(shù)能從不同角度來保證網(wǎng)絡信息不受侵犯，網(wǎng)絡安全的基本技術(shù)主要包括網(wǎng)絡加密技術(shù)、防火墻技術(shù)、操作系統(tǒng)安全內(nèi)核技術(shù)、身份驗證技術(shù)、網(wǎng)絡防病毒技術(shù)。

4.2.1 網(wǎng)絡加密技術(shù)。網(wǎng)絡加密技術(shù)是網(wǎng)絡安全最有效的技術(shù)之一。一個加密網(wǎng)絡，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。網(wǎng)絡信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡加密常用的方法有鏈路加密，端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡節(jié)點之間的鏈路信息安全；端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供加密保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供加密保護。用戶可根據(jù)網(wǎng)絡情況選擇上述三種加密方式。信息加密過程是由形形色色的加密算法來具體實施的，它以很小的代價提供很牢靠的安全保護。在多數(shù)情況下，信息加密是保證信息機密性的唯一方法。據(jù)不完全統(tǒng)計，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達數(shù)百種。

如果按照收發(fā)雙方的密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。在實際應用中，人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如：利用DES 或者IDEA 來加密信息，而采用RSA 來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼算法和分組密碼算法，前者每次只加密一個比特。

4.2.2 防火墻技術(shù)。防火墻技術(shù)是設置在被保護網(wǎng)絡和外界之間的一道屏障，是通過計算機硬件和軟件的組合來建立起一個安全網(wǎng)關(guān)，從而保護內(nèi)部網(wǎng)絡免受非法用戶的入侵，它可以通過鑒別、限制，更改跨越防火墻的數(shù)據(jù)流，來實何保證通信網(wǎng)絡的安全對今后計算機通信網(wǎng)絡的發(fā)展尤為重要。現(xiàn)對網(wǎng)絡的安全保護。防火墻的組成可以表示為：防火墻= 過濾器+ 安全策略+ 網(wǎng)關(guān)，它是一種非常有效的網(wǎng)絡安全技術(shù)。在Internet 上，通過它來隔離風險區(qū)域與安全區(qū)域的連接，但不防礙人們對風險區(qū)域的訪問。防火墻可以監(jiān)控進出網(wǎng)絡的通信數(shù)據(jù)，從而完成僅讓安全、核準的信息進入，同時又抵制對企業(yè)構(gòu)成威脅的數(shù)據(jù)進入的任務。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡地址轉(zhuǎn)換—NAT、代理型和狀態(tài)監(jiān)測型。

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡中的分包傳輸技術(shù)，工作在網(wǎng)絡層。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。但包過濾防火墻的缺點有三：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及IP 的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒；三是無法執(zhí)行某些安全策略。

網(wǎng)絡地址轉(zhuǎn)化—NAT。“你不能攻擊你看不見的東西”是網(wǎng)絡地址轉(zhuǎn)換的理論基礎(chǔ)。網(wǎng)絡地址轉(zhuǎn)換是一種用于把IP 地址轉(zhuǎn)換成臨時的、外部的、注冊的IP 地址標準。它允許具有私有IP 地址的內(nèi)部網(wǎng)絡訪問因特網(wǎng)。當數(shù)據(jù)包流經(jīng)網(wǎng)絡時，NAT 將從發(fā)送端的數(shù)據(jù)包中移去專用的IP 地址，并用一個偽IP 地址代替。NAT 軟件保留專用IP 地址和偽IP 地址的一張地址映射表。當一個數(shù)據(jù)包返回到NAT 系統(tǒng)，這一過程將被逆轉(zhuǎn)。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。如果黑客在網(wǎng)上捕獲到這個數(shù)據(jù)包，他們也不能確定發(fā)送端的真實IP 地址，從而無法攻擊內(nèi)部網(wǎng)絡中的計算機。NAT 技術(shù)也存在一些缺點，例如：木馬程序可以通過NAT 進行外部連接，穿透防火墻。

代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產(chǎn)品, 它分為應用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務器,代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù), 然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達到隱藏內(nèi)部結(jié)構(gòu)的作用，這種防火墻是網(wǎng)絡專家公的最安全的防火墻。缺點是速度相對較慢。

監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。它是由Check Point 軟件技術(shù)有限公司率先提出的，也稱為動態(tài)包過濾防火墻。總的來說，具有：高安全性，高效性，可伸縮性和易擴展性。實際上,作為當前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務器也集成了包過濾技術(shù),這兩種技術(shù)的混合顯然比單獨使用具有更大的優(yōu)勢。總的來說，網(wǎng)絡的安全性通常是以網(wǎng)絡服務的開放性和靈活性為代價的，防火墻只是整個網(wǎng)絡安全防護體系的一部分，而且防火墻并非萬無一失。除了使用了防火墻后技術(shù)，我們還使用了其他技術(shù)來加強安全保護，數(shù)據(jù)加密技術(shù)是保障信息安全的基石。所謂數(shù)據(jù)加密技術(shù)就是使用數(shù)字方法來重新組織數(shù)據(jù)，使得除了合法受者外，任何其他人想要恢復原先的“消息”是非常困難的。目前最常用的加密技術(shù)有對稱加密技術(shù)和非對稱加密技術(shù)。對稱加密技術(shù)是指同時運用一個密鑰進行加密和解密，非對稱加密技術(shù)就是加密和解密所用的密鑰不一樣。

4.2.3 操作系統(tǒng)安全內(nèi)核技術(shù)。操作系統(tǒng)安全內(nèi)核技術(shù)除了在傳統(tǒng)網(wǎng)絡安全技術(shù)上著手，人們開始在操作系統(tǒng)的層次上考慮網(wǎng)絡安全性，嘗試把系統(tǒng)內(nèi)核中可能引起安全性問題的部分從內(nèi)核中剔除出去，從而使系統(tǒng)更安全。操作系統(tǒng)平臺的安全措施包括：采用安全性較高的操作系統(tǒng)；對操作系統(tǒng)的安全配置；利用安全掃描系統(tǒng)檢查操作系統(tǒng)的漏洞等。美國國防部技術(shù)標準把操作系統(tǒng)的安全等級分成了D1、C1、C2、B1、B2、B3、A 級，其安全等級由低到高。目前主要的操作系統(tǒng)的安全等級都是C2 級,其特征包括：①用戶必須通過用戶注冊名和口令讓系統(tǒng)識別；②系統(tǒng)可以根據(jù)用戶注冊名決定用戶訪問資源的權(quán)限；③系統(tǒng)可以對系統(tǒng)中發(fā)生的每一件事進行審核和記錄；④可以創(chuàng)建其他具有系統(tǒng)管理權(quán)限的用戶。

4.2.5 身份驗證技術(shù)身份驗證技術(shù)。身份驗證技術(shù)身份驗證技術(shù)是用戶向系統(tǒng)出示自己身份證明的過程。身份認證是系統(tǒng)查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環(huán)節(jié)，人們常把這兩項工作統(tǒng)稱為身份驗證。它的安全機制在于首先對發(fā)出請求的用戶進行身份驗證，確認其是否為合法的用戶，如是合法用戶，再審核該用戶是否有權(quán)對他所請求的服務或主機進行訪問。從加密算法上來講，其身份驗證是建立在對稱加密的基礎(chǔ)上的。

為了使網(wǎng)絡具有是否允許用戶存取數(shù)據(jù)的判別能力，避免出現(xiàn)非法傳送、復制或篡改數(shù)據(jù)等不安全現(xiàn)象，網(wǎng)絡需要采用的識別技術(shù)。常用的識別方法有口令、唯一標識符、標記識別等。口令是最常用的識別用戶的方法，通常是由計算機系統(tǒng)隨機產(chǎn)生，不易猜測、保密性強，必要時，還可以隨時更改，實行固定或不固定使用有效期制度，進一步提高網(wǎng)絡使用的安全性；唯一標識符一般用于高度安全的網(wǎng)絡系統(tǒng)，采用對存取控制和網(wǎng)絡管理實行精確而唯一的標識用戶的方法，每個用戶的唯一標識符是由網(wǎng)絡系統(tǒng)在用戶建立時生成的一個數(shù)字，且該數(shù)字在系統(tǒng)周期內(nèi)不會被別的用戶再度使用；標記識別是一種包括一個隨機精確碼卡片（如磁卡等）的識別方式，一個標記是一個口令的物理

實現(xiàn)，用它來代替系統(tǒng)打入一個口令。一個用戶必須具有一個卡片，但為了提高安全性，可以用于多個口令的使用。

4.2.6 網(wǎng)絡防病毒技術(shù)。在網(wǎng)絡環(huán)境下，計算機病毒具有不可估量的威脅性和破壞力。CIH 病毒及愛蟲病毒就足以證明如果不重視計算機網(wǎng)絡防病毒，那可能給社會造成災難性的后果，因此計算機病毒的防范也是網(wǎng)絡安全技術(shù)中重要的一環(huán)。網(wǎng)絡防病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡服務器中的文件進行頻繁地掃描和監(jiān)測，工作站上采用防病毒芯片和對網(wǎng)絡目錄及文件設置訪問權(quán)限等。防病毒必須從網(wǎng)絡整體考慮，從方便管理人員的能，在夜間對全網(wǎng)的客戶機進行掃描，檢查病毒情況；利用在線報警功能，網(wǎng)絡上每一臺機器出現(xiàn)故障、病毒侵入時，網(wǎng)絡管理人員都能及時知道，從而從管理中心處予以解決。

訪問控制也是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和非常訪問。它也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段，可以說是保證網(wǎng)絡安全最重要的核心策略之一。它主要包括：身份驗證、存取控制、入網(wǎng)訪問控制、網(wǎng)絡的權(quán)限控制、目錄級安全控制、屬性安全控制等。計算機信息訪問控制技術(shù)最早產(chǎn)生于上世紀60年代，隨后出現(xiàn)了兩種重要的訪問控制技術(shù)，自主訪問控制和強制訪問控制。隨著網(wǎng)絡的發(fā)展，為了滿足新的安全需求，今年來出現(xiàn)了以基于角色的訪問控制技術(shù),基于任務的訪問控制。

五、結(jié)束語

隨著信息技術(shù)的飛速發(fā)展，影響通信網(wǎng)絡安全的各種因素也會不斷強化，因此計算機網(wǎng)絡的安全問題也越來越受到人們的重視，以上我們簡要的分析了計算機網(wǎng)絡存在的幾種安全隱患，并探討了計算機網(wǎng)絡的幾種安全防范措施。

總的來說，網(wǎng)絡安全不僅僅是技術(shù)問題，同時也是一個安全管理問題。我們必須綜合考慮安全因素，制定合理的目標、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對安全的網(wǎng)絡系統(tǒng)，隨著計算機網(wǎng)絡技術(shù)的進一步發(fā)展，網(wǎng)絡安全防護技術(shù)也必然隨著網(wǎng)絡應用的發(fā)展而不斷發(fā)展。

參考文獻：

【1】 陶陽.計算機與網(wǎng)絡安全 重慶：重慶大學出版社，2005.【2】 田園.網(wǎng)絡安全教程 北京：人民郵電出版社，2009.【3】 馮登國.《計算機通信網(wǎng)絡安全》，清華大學出版社，2001

【4】 陳斌.《計算機網(wǎng)絡安全與防御》，信息技術(shù)與網(wǎng)絡服務，2006（4）：35-37.【5】 William Stallings.網(wǎng)絡安全基礎(chǔ)教程：應用與標準（英文影印版），清華大學出版社，2006（7）

【6】 趙樹升等.《信息安全原理與實現(xiàn)》，清華大學出版社，2004（9）

第三篇：淺談計算機網(wǎng)絡安全問題

1引言

隨著計算機網(wǎng)絡技術(shù)的發(fā)展，網(wǎng)絡的安全性和可靠性已成為不同使用層次的用戶共同關(guān)心的問題。人們都希望自己的網(wǎng)絡系統(tǒng)能夠更加可靠地運行，不受外來入侵者干擾和破壞。所以解決好網(wǎng)絡的安全性和可靠性問題，是保證網(wǎng)絡正常運行的前提和保障。

2網(wǎng)絡安全的重要性

在信息化飛速發(fā)展的今天，計算機網(wǎng)絡得到了廣泛應用，但隨著網(wǎng)絡之間的信息傳輸量的急劇增長，一些機構(gòu)和部門在得益于網(wǎng)絡加快業(yè)務運作的同時，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的攻擊和破壞。攻擊者可以竊聽網(wǎng)絡上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份，否認自己的簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫內(nèi)容，摧毀網(wǎng)絡節(jié)點，釋放計算機病毒等等。這致使數(shù)據(jù)的安全性和自身的利益受到了嚴重的威脅。根據(jù)美國FBI（美國聯(lián)邦調(diào)查局）的調(diào)查，美國每年因為網(wǎng)絡安全造成的經(jīng)濟損失超過170億美元。75%的公司報告財政損失是由于計算機系統(tǒng)的安全問題造成的。超過50%的安全威脅來自內(nèi)部。而僅有59%的損失可以定量估算。在中國，針對銀行、證券等金融領(lǐng)域的計算機系統(tǒng)的安全問題所造成的經(jīng)濟損失金額已高達數(shù)億元，針對其他行業(yè)的網(wǎng)絡安全威脅也時有發(fā)生。

由此可見，無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。所以，計算機網(wǎng)絡必須有足夠強的安全措施。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性。

3網(wǎng)絡安全的理論基礎(chǔ)

國際標準化組織（ISO）曾建議計算機安全的定義為：“計算機系統(tǒng)要保護其硬件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞。”為了幫助計算機用戶區(qū)分和解決計算機網(wǎng)絡安全問題，美國國防部公布了“桔皮書”（orange book，正式名稱為“可信計算機系統(tǒng)標準評估準則”），對多用戶計算機系統(tǒng)安全級別的劃分進行了規(guī)定。

桔皮書將計算機安全由低到高分為四類七級：D1、C1、C2、B1、B2、B3、A1。其中D1級是不具備最低安全限度的等級，C1和C2級是具備最低安全限度的等級，B1和B2級是具有中等安全保護能力的等級，B3和A1屬于最高安全等級。

D1級：計算機安全的最低一級，不要求用戶進行用戶登錄和密碼保護，任何人都可以使用，整個系統(tǒng)是不可信任的，硬件軟件都易被侵襲。

C1級：自主安全保護級，要求硬件有一定的安全級（如計算機帶鎖），用戶必須通過登錄認證方可使用系統(tǒng)，并建立了訪問許可權(quán)限機制。

C2級：受控存取保護級，比C1級增加了幾個特性：引進了受控訪問環(huán)境，進一步限制了用戶執(zhí)行某些系統(tǒng)指令；授權(quán)分級使系統(tǒng)管理員給用戶分組，授予他們訪問某些程序和分級目錄的權(quán)限；采用系統(tǒng)審計，跟蹤記錄所有安全事件及系統(tǒng)管理員工作。

B1級：標記安全保護級，對網(wǎng)絡上每個對象都予實施保護；支持多級安全，對網(wǎng)絡、應用程序工作站實施不同的安全策略；對象必須在訪問控制之下，不允許擁有者自己改變所屬資源的權(quán)限。

B2級：結(jié)構(gòu)化保護級，對網(wǎng)絡和計算機系統(tǒng)中所有對象都加以定義，給一個標簽；為工作站、終端等設備分配不同的安全級別；按最小特權(quán)原則取消權(quán)力無限大的特權(quán)用戶。

B3級：安全域級，要求用戶工作站或終端必須通過信任的途徑連接到網(wǎng)絡系統(tǒng)內(nèi)部的主機上；采用硬件來保護系統(tǒng)的數(shù)據(jù)存儲區(qū)；根據(jù)最小特權(quán)原則，增加了系統(tǒng)安全員，將系統(tǒng)管理員、系統(tǒng)操作員和系統(tǒng)安全員的職責分離，將人為因素對計算機安全的威脅減至最小。A1級：驗證設計級，是計算機安全級中最高一級，本級包括了以上各級別的所有措施，并附加了一個安全系統(tǒng)的受監(jiān)視設計；合格的個體必須經(jīng)過分析并通過這一設計；所有構(gòu)成系

統(tǒng)的部件的來源都必須有安全保證；還規(guī)定了將安全計算機系統(tǒng)運送到現(xiàn)場安裝所必須遵守的程序。

在網(wǎng)絡的具體設計過程中，應根據(jù)網(wǎng)絡總體規(guī)劃中提出的各項技術(shù)規(guī)范、設備類型、性能要求以及經(jīng)費等，綜合考慮來確定一個比較合理、性能較高的網(wǎng)絡安全級別，從而實現(xiàn)網(wǎng)絡的安全性和可靠性。

4網(wǎng)絡安全應具備的功能

為了能更好地適應信息技術(shù)的發(fā)展，計算機網(wǎng)絡應用系統(tǒng)必須具備以下功能：

（1）訪問控制：通過對特定網(wǎng)段、服務建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達攻擊目標之前。

（2）檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效。

（3）攻擊監(jiān)控：通過對特定網(wǎng)段、服務建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取響應的行動（如斷開網(wǎng)絡連接、記錄攻擊過程、跟蹤攻擊源等）。

（4）加密通訊：主動地加密通訊，可使攻擊者不能了解、修改敏感信息。

（5）認證：良好的認證體系可防止攻擊者假冒合法用戶。

（6）備份和恢復：良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數(shù)據(jù)和系統(tǒng)服務。

（7）多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。

（8）設立安全監(jiān)控中心：為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護及緊急情況服務。5網(wǎng)絡系統(tǒng)安全綜合解決措施

要想實現(xiàn)網(wǎng)絡安全功能，應對網(wǎng)絡系統(tǒng)進行全方位防范，從而制定出比較合理的網(wǎng)絡安全體系結(jié)構(gòu)。下面就網(wǎng)絡系統(tǒng)的安全問題，提出一些防范措施。

5.1物理安全

物理安全可以分為兩個方面：一是人為對網(wǎng)絡的損害；二是網(wǎng)絡對使用者的危害。

最常見的是施工人員由于對地下電纜不了解，從而造成電纜的破壞，這種情況可通過立標志牌加以防范；未采用結(jié)構(gòu)化布線的網(wǎng)絡經(jīng)常會出現(xiàn)使用者對電纜的損壞，這就需要盡量采用結(jié)構(gòu)化布線來安裝網(wǎng)絡；人為或自然災害的影響，需在規(guī)劃設計時加以考慮。

網(wǎng)絡對使用者的危害主要是電纜的電擊、高頻信號的幅射等，這需要對網(wǎng)絡的絕緣、接地和屏蔽工作做好。

5.2訪問控制安全

訪問控制識別并驗證用戶，將用戶限制在已授權(quán)的活動和資源范圍之內(nèi)。網(wǎng)絡的訪問控制安全可以從以下幾個方面考慮。

（1）口令

網(wǎng)絡安全系統(tǒng)的最外層防線就是網(wǎng)絡用戶的登錄，在注冊過程中，系統(tǒng)會檢查用戶的登錄名和口令的合法性，只有合法的用戶才可以進入系統(tǒng)。

（2）網(wǎng)絡資源屬主、屬性和訪問權(quán)限

網(wǎng)絡資源主要包括共享文件、共享打印機、網(wǎng)絡通信設備等網(wǎng)絡用戶都有可以使用的資源。資源屬主體現(xiàn)了不同用戶對資源的從屬關(guān)系，如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性，如可被誰讀、寫或執(zhí)行等。訪問權(quán)限主要體現(xiàn)在用戶對網(wǎng)絡資源的可用程度上。利用指定網(wǎng)絡資源的屬主、屬性和訪問權(quán)限可以有效地在應用級控制網(wǎng)絡系統(tǒng)的安全性。

（3）網(wǎng)絡安全監(jiān)視

網(wǎng)絡監(jiān)視通稱為“網(wǎng)管”，它的作用主要是對整個網(wǎng)絡的運行進行動態(tài)地監(jiān)視并及時處理各種事件。通過網(wǎng)絡監(jiān)視可以簡單明了地找出并解決網(wǎng)絡上的安全問題，如定位網(wǎng)絡故障點、捉

住IP盜用者、控制網(wǎng)絡訪問范圍等。

（4）審計和跟蹤

網(wǎng)絡的審計和跟蹤包括對網(wǎng)絡資源的使用、網(wǎng)絡故障、系統(tǒng)記帳等方面的記錄和分析。一般由兩部分組成：一是記錄事件，即將各類事件統(tǒng)統(tǒng)記錄到文件中；二是對記錄進行分析和統(tǒng)計，從而找出問題所在。

5.3數(shù)據(jù)傳輸安全

傳輸安全要求保護網(wǎng)絡上被傳輸?shù)男畔ⅲ苑乐贡粍拥睾椭鲃拥厍址浮?shù)據(jù)傳輸安全可以采取如下措施：

（1）加密與數(shù)字簽名

任何良好的安全系統(tǒng)必須包括加密！這已成為既定的事實。網(wǎng)絡上的加密可以分為三層：第一層為數(shù)據(jù)鏈路層加密，即將數(shù)據(jù)在線路傳輸前后分別對其進行加密和解密，這樣可以減少在傳輸線路上被竊取的危險；第二層是傳輸層的加密，使數(shù)據(jù)在網(wǎng)絡傳輸期間保持加密狀態(tài)；第三層是應用層上的加密，讓網(wǎng)絡應用程序?qū)?shù)據(jù)進行加密和解密。當然可以對這三層進行綜合加密，以增強信息的安全性和可靠性。

數(shù)字簽名是數(shù)據(jù)的接收者用來證實數(shù)據(jù)的發(fā)送者確實無誤的一種方法，它主要通過加密算法和證實協(xié)議而實現(xiàn)。

（2）防火墻

防火墻（Firewall）是Internet上廣泛應用的一種安全措施，它可以設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列部件的組合。它能通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地檢測網(wǎng)絡內(nèi)外信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡的安全保護。

（3）User Name/Password認證

該種認證方式是最常用的一種認證方式，用于操作系統(tǒng)登錄、telnet（遠程登錄）、rlogin（遠程登錄）等，但此種認證方式過程不加密，即password容易被監(jiān)聽和解密。

（4）使用摘要算法的認證

Radius（遠程撥號認證協(xié)議）、OSPF（開放路由協(xié)議）、SNMP Security Protocol等均使用共享的Security Key（密鑰），加上摘要算法（MD5）進行認證，但摘要算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的security key，所以敏感信息不能在網(wǎng)絡上傳輸。市場上主要采用的摘要算法主要有MD5和SHA-1。

（5）基于PKI的認證

使用PKI（公開密鑰體系）進行認證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數(shù)字簽名等技術(shù)，很好地將安全性和高效性結(jié)合起來。這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻認證等領(lǐng)域。該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務。

（6）虛擬專用網(wǎng)絡（VPN）技術(shù)

VPN技術(shù)主要提供在公網(wǎng)上的安全的雙向通訊，采用透明的加密方案以保證數(shù)據(jù)的完整性和保密性。

VPN技術(shù)的工作原理：VPN系統(tǒng)可使分布在不同地方的專用網(wǎng)絡在不可信任的公共網(wǎng)絡上實現(xiàn)安全通信，它采用復雜的算法來加密傳輸?shù)男畔ⅲ沟妹舾械臄?shù)據(jù)不會被竊聽。其處理過程大體是這樣：

① 要保護的主機發(fā)送明文信息到連接公共網(wǎng)絡的VPN設備；

② VPN設備根據(jù)網(wǎng)管設置的規(guī)則，確定是否需要對數(shù)據(jù)進行加密或讓數(shù)據(jù)直接通過。③ 對需要加密的數(shù)據(jù)，VPN設備對整個數(shù)據(jù)包進行加密和附上數(shù)字簽名。

④ VPN設備加上新的數(shù)據(jù)報頭，其中包括目的地VPN設備需要的安全信息和一些初始化參數(shù)。

⑤ VPN設備對加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標VPN設備的IP地址進行重新封裝，重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸。

⑥ 當數(shù)據(jù)包到達目標VPN設備時，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對無誤后，數(shù)據(jù)包被解密。

綜上所述，對于計算機網(wǎng)絡傳輸?shù)陌踩珕栴}，我們必須要做到以下幾點。第一，應嚴格限制上網(wǎng)用戶所訪問的系統(tǒng)信息和資源，這一功能可通過在訪問服務器上設置NetScreen防火墻來實現(xiàn)。第二，應加強對上網(wǎng)用戶的身份認證，使用RADIUS等專用身份驗證服務器。一方面，可以實現(xiàn)對上網(wǎng)用戶帳號的統(tǒng)一管理；另一方面，在身份驗證過程中采用加密的手段，避免用戶口令泄露的可能性。第三，在數(shù)據(jù)傳輸過程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。一種方法是使用PGP for Business Security對數(shù)據(jù)加密。另一種方法是采用NetScreen防火墻所提供的VPN技術(shù)。VPN在提供網(wǎng)間數(shù)據(jù)加密的同時，也提供了針對單機用戶的加密客戶端軟件，即采用軟件加密的技術(shù)來保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

第四篇：計算機網(wǎng)絡安全問題分析

計算機網(wǎng)絡安全問題分析

鄭培紅 周剛

摘要: 計算機網(wǎng)絡安全問題已成為當今信息時代的研究熱點。當前的網(wǎng)絡存在著計算機病毒、計算機黑客攻擊等等問題。本文介紹了當前的計算機網(wǎng)絡面臨的威脅, 而后介紹到計算機網(wǎng)絡安全的特征, 最后給出幾點意見。

關(guān)鍵詞: 計算機網(wǎng)絡安全;黑客;病毒

一、引言 世紀全世界的計算機都將通過Internet 聯(lián)到一起, 信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范, 而且還從一種專門的領(lǐng)域變成了無處不在。當人類步入21 世紀這一信息社會、網(wǎng)絡社會的時候, 我國建立起一套完整的網(wǎng)絡安全體系, 特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡安全體系。在當今網(wǎng)絡化的世界中, 網(wǎng)絡的開放性和共享性在方便了人們使用的同時, 也使得網(wǎng)絡很容易受到攻擊, 計算機信息和資源也很容易受到黑客的攻擊, 甚至是后果十分嚴重的攻擊, 諸如數(shù)據(jù)被人竊取, 服務器不能提供服務等等。因此, 網(wǎng)絡和信息安全技術(shù)也越來越受到人們的重視, 由此推動了入侵檢測、虛擬專用網(wǎng)、訪問控制、面向?qū)ο笙到y(tǒng)的安全等各種網(wǎng)絡、信息安全技術(shù)的蓬勃發(fā)展。

計算機網(wǎng)絡是計算機科學發(fā)展到一定階段的產(chǎn)物, 是由計算機系統(tǒng)和終端設備, 通過線路連接形成的, 實現(xiàn)了用戶遠程通信和資源的共享, 而且有較高的可靠性和擴展性。計算機網(wǎng)絡化是信息社會的主要標志之一。互聯(lián)網(wǎng)是通過TCP/IP 協(xié)議將各個不同地區(qū)及不同結(jié)構(gòu)的計算機連接在一起組成的網(wǎng)絡形式。隨著互聯(lián)網(wǎng)用戶的不斷發(fā)展促進了信息交流, 然而，網(wǎng)絡的發(fā)展也帶來安全方面的問題, 例如網(wǎng)絡中使用的傳輸控制協(xié)議(TCP)、互聯(lián)網(wǎng)協(xié)議、IP、路由器等都會出現(xiàn)安全方面的問題, 需要采取鑒別、數(shù)據(jù)加密、數(shù)字簽名、防火墻等必需的安全機制和防護措施。

二、計算機網(wǎng)絡面臨的威脅

計算機網(wǎng)絡所面臨的威脅大體可分為兩種: 一是對網(wǎng)絡中信息的威脅;二是對網(wǎng)絡中設備的威脅。影響計算機網(wǎng)絡的因素很多, 針對網(wǎng)絡安全的威脅主要有以下幾種。

一是無意失誤。如操作員安全配置不當造成的安全漏洞, 用戶安全意識不強, 用戶口令選擇不慎, 用戶將自己的口令隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡安全帶來威脅。二是人為的惡意攻擊。這是計算機網(wǎng)絡所面臨的最大威脅, 敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種: 一種是主動攻擊, 它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊, 它是在不影響網(wǎng)絡正常工作的情況下, 進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡造成極大的危害, 并導致機密數(shù)據(jù)的泄漏。三是網(wǎng)絡軟件的漏洞和“后門”。網(wǎng)絡軟件不可能是百分之百的無缺陷和無漏洞的, 而這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標, 經(jīng)常出現(xiàn)的黑客攻擊網(wǎng)絡內(nèi)部的事件, 這些事件的大部分就是因為安全措施不完善所招致的苦果。

三、計算機網(wǎng)絡安全問題的特征

（一）網(wǎng)絡安全先天脆弱

計算機網(wǎng)絡安全系統(tǒng)的脆弱性是伴隨計算機網(wǎng)絡一同產(chǎn)生的, 換句話說, 安全系統(tǒng)脆弱是計算機網(wǎng)絡與生俱來的致命弱點。在網(wǎng)絡建設中, 網(wǎng)絡特性決定了不可能無條件、無限制的提高其安全性能。要使網(wǎng)絡更方便快捷, 又要保證網(wǎng)絡安全, 這是一個非常棘手的“兩難選擇”, 而網(wǎng)絡安全只能在“兩難選擇”所允許的范圍中尋找支撐點。因此, 可以說世界上任何一個計算機網(wǎng)絡都不是絕對安全的。

（二）黑客攻擊后果嚴重

近幾年, 黑客猖狂肆虐, 四面出擊, 使交通通訊網(wǎng)絡中斷, 軍事指揮系統(tǒng)失靈, 電力供水系統(tǒng)癱瘓, 銀行金融系統(tǒng)混亂--危及國家的政治、軍事、經(jīng)濟的安全與穩(wěn)定, 在世界各國造成了難以估量的損。

（三）網(wǎng)絡殺手集團化

目前, 網(wǎng)絡殺手除了一般的黑客外, 還有一批具有高精尖技術(shù)的“專業(yè)殺手”, 更令人擔憂的是出現(xiàn)了具有集團性質(zhì)的“網(wǎng)絡恐怖分子”甚至政府出面組織的“網(wǎng)絡戰(zhàn)”、“黑客戰(zhàn)”, 其規(guī)模化、專業(yè)性和破壞程度都使其他黑客望塵莫及。可以說, 由政府組織的“網(wǎng)絡戰(zhàn)”、“黑客戰(zhàn)”是當前網(wǎng)絡安全的最大隱患。目前, 美國正開展用無線電方式、衛(wèi)星輻射式注入方式、網(wǎng)絡方式把病毒植入敵方計算機主機或各類傳感器、網(wǎng)橋中的研究以伺機破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡系統(tǒng)。另外, 為達到預定目的, 對出售給潛在敵手的計算機芯片進行暗中修改, 在CPU 中設置“芯片陷阱”, 可使美國通過因特網(wǎng)發(fā)布指令讓敵方電腦停止工作, 以起到“定時炸彈”的作用。

（三）破壞手段多元化

目前,“網(wǎng)絡恐怖分子”除了制造、傳播病毒軟件、設置“郵箱炸彈”, 更多的是采取借助工具軟件對網(wǎng)絡發(fā)動襲擊, 令其癱瘓或者盜用一些大型研究機構(gòu)的服務器, 使用“拒絕服務”程序, 如TFN 和與之相近的程序等, 指揮它們向目標網(wǎng)站傳輸遠遠超出其帶寬容量的垃圾數(shù)據(jù), 從而使其運行中斷。多名黑客甚至可以借助同樣的軟件在不同的地點“集中火力”對一個或者多個網(wǎng)絡發(fā)起攻擊。而且, 黑客們還可以把這些軟件神不知鬼不覺地通過互聯(lián)網(wǎng)安裝到別人的電腦上, 然后, 在電腦主人根本不知道的情況下“借刀殺人”。總之, 影響網(wǎng)絡安全的兩大方面: 一是來自外部網(wǎng)絡的安全問題。二是來自內(nèi)部網(wǎng)絡的安全問題。

四、加強計算機網(wǎng)絡的安全防范措施

（一）提高思想認識

近年來, 中國的網(wǎng)絡發(fā)展非常迅速, 同時, 中國的網(wǎng)絡安全也越來越引起人們的關(guān)注, 國家權(quán)威部門曾對國內(nèi)網(wǎng)站的安全系統(tǒng)進行測試, 發(fā)現(xiàn)不少單位的計算機系統(tǒng)都存在安全漏洞, 有些單位還非常嚴重, 隨時可能被黑客入侵。當前, 世界各國對信息戰(zhàn)十分重視, 假如我們的網(wǎng)絡安全無法保證, 這勢必影響到國家政治、經(jīng)濟的安全。因此, 從思想上提高對計算機網(wǎng)絡安全重要性的認識,是我們當前的首要任務。

（二）健全管理制度

任何網(wǎng)站都不是絕對安全的, 值得一提的是, 當前一些單位在急忙趕搭“網(wǎng)絡快車”時, 只管好用, 不管安全, 這種短視必然帶來嚴重的惡果, 與“網(wǎng)絡恐怖分子”的較量是一場“沒有硝煙的戰(zhàn)爭”, 是高科技的較量, 是“硬碰硬”的較量。根據(jù)這一情況, 當前工作的重點, 一是要狠抓日常管理制度的落實, 要把安全管理制度落實到每一個環(huán)節(jié)中;二是要加強計算機從業(yè)人員的行業(yè)歸口管理, 對這些人員要強化安全教育和法制教育, 建立人員管理檔案并進行定期的檢查和培訓;三是要建立一支反黑客的“快速反應部隊”, 同時加快加緊培養(yǎng)高水平的網(wǎng)絡系統(tǒng)管理員, 并盡快掌握那些關(guān)鍵技術(shù)和管理知識。

（三）強化防范措施

一般來說, 影響計算機網(wǎng)絡安全的因素很多, 但目前最主要的因素是接受電子郵件和下載軟件兩種。下面就這兩種方式談談基本的防范措施: 1 切實保護電子郵件的安全

第一, 要做好郵件帳戶的安全防范。一定要保護好郵箱的密碼。入網(wǎng)帳號與口令應該是需要保護的重中之重, 密碼要取得有技巧、有難度, 密碼最好能有多位數(shù), 且數(shù)字與字母相間, 中間還可以允許用特殊符號。對于比較重要的郵件地址不要隨便在網(wǎng)上暴露。第二, 將郵件信息加密處理。如使用A-LOCK, 在發(fā)送郵件之前對內(nèi)容(復制到粘貼板上)進行加密。對方收到這種加密信件之后也必須用A-LOCK 來進行解密才能閱讀信件。即使有人截獲了郵件信息, 看到的也是一堆毫無意義的亂碼。第三, 防止郵件炸彈。下面介紹幾種對付電子郵件炸彈的方法: ① 過濾電子郵件。凡可疑的E-MAIL 盡量不要開啟: 如果懷疑信箱有炸彈, 可以用郵件程序的遠程郵箱管理功能來過濾信件, 如國產(chǎn)的郵件程序Foxmail。在進行郵箱的遠程管理時, 仔細檢查郵件頭信息, 如果發(fā)現(xiàn)有來歷可疑的信件或符合郵件炸彈特征的信件, 可以直接把它從郵件服務器上刪除。② 使用殺毒軟件。一是郵件有附件的話, 不管是誰發(fā)過來的, 也不管其內(nèi)容是什么(即使是文檔, 也往往能成為病毒的潛伏場所, 像著名的Melissa), 都不要立即執(zhí)行, 而是先存盤, 然后用殺毒軟件檢查一番, 以確保安全。二是注意目前網(wǎng)上有一些別有用心的人以網(wǎng)站的名義, 讓你接受他們通過郵件附件推給你的軟件(多半是木馬S 端), 并以種種借口要求你立即執(zhí)行。對此, 凡是發(fā)過來的任何程序、甚至文檔都應用殺毒軟件檢查一番。③ 使用轉(zhuǎn)信功能。用戶一般都有幾個E-mail 地址。最好申請一個容量較大的郵箱作為收信信箱。對于其它各種信箱, 最好支持轉(zhuǎn)信功能的, 并設置轉(zhuǎn)信到大信箱。所有其它郵件地址的信件都會自動轉(zhuǎn)寄到大信箱內(nèi), 可以很好地起到保護信箱的作用。第四, 申請郵件數(shù)字簽證。數(shù)字簽證不但能夠保護郵件的信息安全, 而且通過它可以確認信件的發(fā)送者。最后要注意對本地的已收發(fā)郵件進行相應的刪除處理。2 切實保障下載軟件的安全

對于網(wǎng)絡軟件, 需要指出的是: 一方面, 網(wǎng)上大多數(shù)的信息都是干凈的, 但也確實有一部分受到“污染”, 尤其是黑客和“網(wǎng)絡恐

怖分子”利用各種方法在網(wǎng)上擴散病毒、木馬等以制造混亂, 而且手段十分狡猾、隱蔽, 很容易中了他們的圈套。另一方面, 由于因特網(wǎng)的迅捷與無所不在, 各式病毒、木馬的傳播速度和傳播范圍達到了前所未有的程度。因此我們對下載軟件和接受的E-MAIL 決不可大意。下載軟件時應該注意:第一, 下載軟件應盡量選擇客流大的專業(yè)站點。大型的專業(yè)站點, 資金雄厚, 技術(shù)成熟, 水平較高, 信譽較佳, 大都有專人維護,安全性能好, 提供的軟件問題較少。相比之下, 那些小型的個人站點所提供的軟件出問題的機率較高。第二, 從網(wǎng)上下載來軟件要進行殺毒處理。對下載的任何軟件, 不要立即使用,WORD 文檔也不宜直接打開, 而應先用殺毒軟件檢測一番, 進行殺毒處理。殺毒軟件應當始終保持最新版本, 最好每月升級一次。第三, 防止染上“木馬”。一旦染上木馬后, 它就會給你的Windows 留下后門, 秘密監(jiān)視網(wǎng)絡信息, 一旦發(fā)現(xiàn)遠方控制指令, 就會秘密地予以回應, 可以讓遠方的控制者掌握對機器的完全控制權(quán)。此后在你完全不知的情況下, 遠方的侵入者可以隨時在因特網(wǎng)上無限制地訪問你的計算機, 因此它的危害是不言而喻的。最簡便有效的預防措施是, 避免啟動服務器端(S 端)。消除木馬的具體操作是, 首先拜訪注冊表, 獲取木馬的裝入信息, 找出S 端程序放于何處。然后先將注冊表中的木馬配置鍵刪掉, 重新啟動計算機, 再將程序也刪掉。21 世紀人類步入信息社會后, 網(wǎng)絡安全技術(shù)成為信息網(wǎng)絡發(fā)展的關(guān)鍵技術(shù), 信息這一社會發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡安全技術(shù)的有力保障, 才能形成社會發(fā)展的推動力。在我國, 信息網(wǎng)絡安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段, 有大量的工作需要我們?nèi)パ芯俊㈤_發(fā)和探索。我們只有走有中國特色的防火墻技術(shù)發(fā)展之路, 以超常規(guī)的思路和超常規(guī)的措施, 趕上和超過發(fā)達國家的水平, 才能保證我國信息網(wǎng)絡的安全, 推動我國國民經(jīng)濟的高速發(fā)展。

第五篇：論當今計算機網(wǎng)絡安全問題

計算機網(wǎng)絡安全問題淺析

摘要：

隨著科技的發(fā)展，互聯(lián)網(wǎng)已經(jīng)滲透到人們生活的各個領(lǐng)域之中，人們對計算機和網(wǎng)絡的應用和依賴程度愈來愈高，信息化的社會對互聯(lián)網(wǎng)的要求也越來越高，人們對計算機的使用，已不是簡單的運算，與此同時計算機網(wǎng)絡的問題也就凸現(xiàn)出來，計算機網(wǎng)絡安全問題，直接關(guān)系到一個國家的政治、軍事、經(jīng)濟等領(lǐng)域的安全和穩(wěn)定，因此，網(wǎng)絡安全是非常重要的問題，網(wǎng)絡安全問題成為了人們在使用計算機中越來越重視的問題。

關(guān)鍵詞：互聯(lián)網(wǎng) 計算機 網(wǎng)絡安全引言世紀的一些重要特征就是數(shù)字化、網(wǎng)絡化和信息化,它是一個以網(wǎng)絡為核心的信息時代。網(wǎng)絡現(xiàn)已成為信息社會的命脈和發(fā)展知識經(jīng)濟的重要基礎(chǔ)。網(wǎng)絡是指“三網(wǎng)”，即電信網(wǎng)絡、有線電視網(wǎng)絡和計算機網(wǎng)絡。發(fā)展最快的并起到核心作用的是計算機網(wǎng)絡。因特網(wǎng)起源于美國現(xiàn)已發(fā)展成為世界上最大的國際性計算機互聯(lián)網(wǎng)，因特網(wǎng)又稱國際互聯(lián)網(wǎng)，是全球性的網(wǎng)絡，是一種公用信息的載體，是大眾傳媒的一種。具有快捷性、普及性，是現(xiàn)今最流行、最受歡迎的傳媒之一。這種大眾傳媒比以往的任何一種通訊媒體都要快。互聯(lián)網(wǎng)是由一些使用公用語言互相通信的計算機連接而成的網(wǎng)絡，即廣域網(wǎng)、局域網(wǎng)及單機按照一定的通訊協(xié)議組成的國際計算機網(wǎng)絡。

2計算機網(wǎng)絡安全

2.1 互聯(lián)網(wǎng)安全 互聯(lián)網(wǎng)安全從其本質(zhì)上來講就是互聯(lián)網(wǎng)上的信息安全。從廣義來說，凡是涉及到互聯(lián)網(wǎng)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡安全的研究領(lǐng)域。互聯(lián)網(wǎng)安全是一門涉及計算機科學、網(wǎng)絡技術(shù)、通

信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。由于設計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使網(wǎng)絡系統(tǒng)在穩(wěn) 定性和可擴充性方面受到影響。網(wǎng)絡硬件的配置不協(xié)調(diào)主要表現(xiàn)為一是文件服務 器，它是網(wǎng)絡的中樞，其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡系統(tǒng)的質(zhì)量；網(wǎng)絡應用的需求沒有引起足夠的重視，設計和選型考慮欠周密，從而影響網(wǎng)絡的可靠性、擴充性和升級換代；二是網(wǎng)卡用工作站選配不當導致網(wǎng)絡不穩(wěn)定，許多站點在防火墻配置上無意識地擴大了訪問權(quán)限，忽視了這些權(quán)限可能會被其他人員 濫用，從而給他人以可乘之機。資源共享是計算機網(wǎng)絡應用的主要目的，但這為系統(tǒng)安全的攻擊者進行破壞提供了機會。由于網(wǎng)絡協(xié)議實現(xiàn)的復雜性，決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞，不合理的網(wǎng)絡設計會成為網(wǎng)絡安全的威脅。

2.2 計算機信息安全

信息系統(tǒng)安全的內(nèi)容應包括兩個方面：物理安全和邏輯安全。物理安全指系 統(tǒng)設備及相關(guān)設施受到物理保護，免于破壞、丟失等。邏輯安全包括確保信息的 完整性、保密性和可用性。在計算機網(wǎng)絡中，根據(jù)國際標準化組織 ISO 的定義，信息系統(tǒng)安全就是為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計 算機的硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)能 夠連續(xù)可靠正常地運行，信息服務不中斷。

2.2.1 計算機信息安全問題的成因

第一，電磁信號的輻射。目前網(wǎng)絡通信中常用的傳輸電纜以及計算機、網(wǎng)絡 設備都會因為電磁屏蔽不完善而通過電磁輻射向外泄露。第二，工作環(huán)境的安全 漏洞。包括自身的體系結(jié)構(gòu)問題、對特定網(wǎng)絡協(xié)議實現(xiàn)的錯誤以及系統(tǒng)開發(fā)過程 中遺留的后門和陷門。第三，人為的惡意攻擊。以各種方式有選擇地破壞信息的 有效性和完整性，對計算機網(wǎng)絡造成嚴重的危害，并導致機密數(shù)據(jù)的泄漏，這是 計算機網(wǎng)絡所面臨的最大威脅。第四，安全產(chǎn)品自身的問題。自身實現(xiàn)過程中的 安全漏洞或錯誤都將導致用戶內(nèi)部網(wǎng)絡安全防范機制的失效。第五，網(wǎng)絡軟件的 缺陷和漏洞。

2.2.2 網(wǎng)絡安全缺陷產(chǎn)生的原因

第一，TCP/IP 的脆弱性。由于 TCP/IP 協(xié)議是公布于眾的，如果人們對 TCP/IP 很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡攻擊。第二，網(wǎng)絡結(jié)構(gòu)的不安全性。如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路 徑上的主機，他就可以劫持用戶的數(shù)據(jù)包。第三，易被竊聽。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行竊聽。第四，缺乏安全意識。人們普遍缺乏安全意識，使網(wǎng)絡中設置的安全保護屏 障形同虛設。如人們?yōu)榱吮荛_防火墻代理服務器的額外認證，進行直接的 PPP 連接從而避開了防火墻的保護。

3網(wǎng)絡安全的問題

3.1計算機網(wǎng)絡安全的威脅

網(wǎng)絡缺陷：正是由于 Internet 在全球范圍內(nèi)的普及，使其保護信息安全存在 先天不足，缺乏相應的安全監(jiān)督機制。黑客攻擊：現(xiàn)在還缺乏針對網(wǎng)絡犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強，這是網(wǎng)絡安全的主要威脅之一。各種病毒：病毒時時刻刻威脅著整個互聯(lián)網(wǎng)，促使人們不得不在網(wǎng)絡的各個 環(huán)節(jié)考慮對于各種病毒的檢測防治。管理的欠缺及資源濫用：很多上互聯(lián)網(wǎng)的企業(yè)在管理上存在漏洞，對于網(wǎng)絡上黑客的攻擊缺乏基本的應對措施，同時企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象，降低了員工的工作效率，這是造成網(wǎng)絡安全問題的根本原因。信息泄露：惡意、過失的不合理信息上傳和發(fā)布，可能會造成敏感信息泄漏、有害信息擴散，危及社會、國家、集體和個人利益。

3.2 計算機網(wǎng)絡安全問題

計算機網(wǎng)絡受攻擊主要有六種形式：①內(nèi)部竊密和破壞。②截收信息。③非法訪問。④利用 TCP/IP 協(xié)議上的某些不安全因素進行APR欺騙和IP欺騙攻擊。⑤病毒破壞。⑥其 它網(wǎng)絡攻擊方式。目前網(wǎng)絡環(huán)境中廣泛采用的TCP/IP協(xié)議，因為其開放性，故其本身就意味著一種安全風險。由于大量重要的應用程序都以TCP作為 它們的傳輸層協(xié)議，因此TCP的安全性問題會給網(wǎng)絡帶來嚴重的后果。網(wǎng)絡結(jié)構(gòu)的安全問題。互聯(lián)網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有進行加密，因此黑客利 用工具很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M行破解，這就是互聯(lián)網(wǎng)所 固有的安全隱患。系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方。防火墻很難考慮到這類安全 問題，因為對于防火墻來說，該入侵行為的訪問過程和正常的Web訪問是相似的，唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。4 計算機網(wǎng)絡安全防范

4.1 安全技術(shù)手段 物理措施：例如，保護網(wǎng)絡關(guān)鍵設備(如交換機、大型計算機等)，制定嚴格的網(wǎng)絡安全規(guī)章制度，采取防輻射、防火以及安裝不間斷電源（UPS）等措施。訪問控制：對用戶訪問網(wǎng)絡資源的權(quán)限進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡設備配置的權(quán)限，等等。

數(shù)據(jù)加密：加密是保護數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計算機網(wǎng)絡病毒，安裝網(wǎng)絡防病毒系統(tǒng)。

其他措施：其他措施包括信息過濾、容錯、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計等。近年來，圍繞網(wǎng)絡安全問題提出了許多解決辦法，例如數(shù)據(jù)加密技術(shù)和防火墻技術(shù)等。數(shù)據(jù)加密是對網(wǎng)絡中傳輸?shù)臄?shù)據(jù)進行加密，到達目的地后再解密還原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用信息。防火墻技術(shù)是通過對網(wǎng)絡的隔離和限制訪問等方法來控制網(wǎng)絡的訪問權(quán)限，從而保護網(wǎng)絡資源。其他安全技術(shù)包括密鑰管理、數(shù)字簽名、認證技術(shù)、智能卡技術(shù)和訪問控制等等。

4.2 防火墻技術(shù)

防火墻通過在網(wǎng)絡邊界上建立網(wǎng)絡安全監(jiān)測系統(tǒng)，對流經(jīng)它的網(wǎng)絡通信進行掃描，能夠 有效隔離內(nèi)部和外部網(wǎng)絡，確定允許哪些內(nèi)部服務訪問外部服務，以及允許哪些 外部服務訪問內(nèi)部服務，以阻擋來自外部網(wǎng)絡的入侵和攻擊。現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡層之外的其他安全層次，不僅要完成傳統(tǒng) 防火墻的過濾任務，同時還能為各種網(wǎng)絡應用提供相應的安全服務。

4.3 計算機網(wǎng)絡安全的相關(guān)技術(shù)

數(shù)據(jù)加密技術(shù)，加密技術(shù)是信息安全技術(shù)的核心，是一種主動的信息安全 防范措施，信息加密技術(shù)是其他安全技術(shù)的基礎(chǔ)，加密技術(shù)是指通過使用代碼或 密碼將某些重要信息和數(shù)據(jù)從一個可以理解的明文形式變換成一種復雜錯亂的 不可理解的密文形式，對電子信息在傳輸過程中或存儲體內(nèi)進行保護，以阻止信息泄露或盜取，從而確保信息的安全性。

入侵檢測技術(shù)，入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)是從多種計算機系統(tǒng)及網(wǎng)絡系統(tǒng)中收集信息，再通過此信息分析入侵特征的網(wǎng)絡安全系統(tǒng)。IDS 被認為是 防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前檢測到入侵 攻擊，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻 擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加入策略集中，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵。

防病毒技術(shù)，隨著計算機技術(shù)的不斷發(fā)展，計算機病毒變得越來越復雜和高級，對計算機 信息系統(tǒng)構(gòu)成的威脅也越來越大。在病毒防范中普遍使用的防病毒軟件，從功能 上可以分為網(wǎng)絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝 在單臺 PC 機上，即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢 測、清除病毒。網(wǎng)絡防病毒軟件則主要注重網(wǎng)絡防病毒，一旦病毒入侵網(wǎng)絡或者 從網(wǎng)絡向其它資源傳染，網(wǎng)絡防病毒軟件會立刻檢測到并加以刪除。

網(wǎng)絡安全掃描技術(shù)，網(wǎng)絡安全掃描技術(shù)是網(wǎng)絡安全領(lǐng)域的重要技術(shù)之一。利用安全掃描技術(shù)，可以對局域網(wǎng)絡、Web 站點、主機操作系統(tǒng)、系統(tǒng)服務以及防火墻系統(tǒng)的安全漏洞進行服務，檢測在操作系統(tǒng)上存在的可能導致遭受緩沖區(qū)溢出攻擊或者拒絕服務 攻擊的安全漏洞，還可以檢測主機系統(tǒng)中是否被安裝了竊聽程序、防火墻系統(tǒng)是 否存在安全漏洞和配置錯誤。安全建議

采用防火墻與防病毒技術(shù)以提高網(wǎng)絡安全性，通過防火墻在網(wǎng)絡邊界上建立起來的通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡，可以實現(xiàn)局域網(wǎng)與廣域網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)有效地分隔，以阻擋外部網(wǎng)絡的侵入，從而實施安全訪問控制，提高檢察信息網(wǎng)的安全性。安裝網(wǎng)絡版防病毒軟件，加強 病毒檢測，及時發(fā)現(xiàn)病毒并予以清殺，可有效阻止其在網(wǎng)絡上蔓延和破壞。

運用網(wǎng)絡加密技術(shù)，網(wǎng)絡信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種： ①鏈接加密。②節(jié)點加密。③首尾加密。網(wǎng)絡加密技術(shù)是網(wǎng)絡安全最有效的技術(shù)之一，既可以對付惡意軟件攻擊，又可以防止非授權(quán)用戶的訪問。

加強計算機網(wǎng)絡訪問控制，訪問控制是網(wǎng)絡安全防范的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和非正常訪問，也是維護網(wǎng)絡系統(tǒng)安全、保護網(wǎng)絡資源的重要手段。訪問控制技術(shù)主要包括入網(wǎng)訪問控制、網(wǎng)絡的權(quán)限控制、目錄級安全控制、屬性安全 控制、網(wǎng)絡服務器安全控制、網(wǎng)絡監(jiān)測和鎖定控制、網(wǎng)絡端口和節(jié)點的安全控制。

加強設備的安全監(jiān)管，對入網(wǎng)的硬件設備和軟件，統(tǒng)一由網(wǎng)絡安全技術(shù)部門嚴格把關(guān)，對涉及網(wǎng)絡安全的核心設備可列入政府專項，由專業(yè)人員把關(guān)統(tǒng)一購買安裝。建立健全管理 制度，防止非法用戶進入計算機控制室和各種非法行為的發(fā)生，并定期的對運行環(huán)境條件進行檢查、測試和維護。對于傳輸線路，要定期檢查連接情況，以檢測 是否有搭線竊聽、非法外連或破壞行為。

加強網(wǎng)絡安全教育，加強網(wǎng)絡安全教育對工作人員結(jié)合機房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡等各個方面安全問題，進行安全教育，提高工作人員的安全觀念和責任心；加強業(yè)務、技術(shù)的培訓，提高操 作技能； 教育工作人員嚴格遵守操作規(guī)程和各項保密規(guī)定，防止人為事故的發(fā)生。

設置網(wǎng)絡權(quán)限，將檢察機關(guān)內(nèi)部計算機維護權(quán)限與操作權(quán)限、數(shù)據(jù)權(quán)限分開，根據(jù)檢察機關(guān) 業(yè)務的不同，程序?qū)⒆詣臃峙淦涫褂脵?quán)限。設置訪問權(quán)限可以讓用戶有效地完成工作，同時又能控制用戶對服務器資源的訪問，從而加強網(wǎng)絡和服務器的安全性。

參考文獻

[1]陳愛民．計算機的安全與保密［Ｍ］．北京：電子工業(yè)出版社，2002

[2]黎連業(yè),張維.防火墻及其應用技術(shù)[M].北京:清華大學,2004.[3]楊義先.網(wǎng)絡安全理論與技術(shù)[M].北京:人民郵電出版社,2003.[4]王達.網(wǎng)管員必讀——網(wǎng)絡安全[M].北京:電子工業(yè)出版社,2007.[5]石淑華,池瑞楠,計算機網(wǎng)絡安全技術(shù)(第二版),北京人民郵電出版社,2012.[6] 于峰.計算機網(wǎng)絡與數(shù)據(jù)通信.北京.中國水利水電出版社，2003

[7]謝希仁.計算機網(wǎng)絡（第 5 版）[M].北京:電子工業(yè)出版社,2008.[8] 張水平.計算機網(wǎng)絡及應用.西安.西安交通大學出版社，2002

[9] 陳浩．Internet上的網(wǎng)絡攻擊與防范[J] ．電信技術(shù)．1998.[10] 雷震甲.網(wǎng)絡工程師教程.[M].北京：清華大學出版社，2004

[11]王其良,高敬瑜.計算機網(wǎng)絡安全技術(shù)[M].北京大學出版社,2006.11.[12] 宋乃平、文樺．Internet網(wǎng)絡安全管理[J] ．天中學刊．2002.