第一篇：淺談計算機(jī)網(wǎng)絡(luò)安全問題

1引言

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)的安全性和可靠性已成為不同使用層次的用戶共同關(guān)心的問題。人們都希望自己的網(wǎng)絡(luò)系統(tǒng)能夠更加可靠地運(yùn)行，不受外來入侵者干擾和破壞。所以解決好網(wǎng)絡(luò)的安全性和可靠性問題，是保證網(wǎng)絡(luò)正常運(yùn)行的前提和保障。

2網(wǎng)絡(luò)安全的重要性

在信息化飛速發(fā)展的今天，計算機(jī)網(wǎng)絡(luò)得到了廣泛應(yīng)用，但隨著網(wǎng)絡(luò)之間的信息傳輸量的急劇增長，一些機(jī)構(gòu)和部門在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的攻擊和破壞。攻擊者可以竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份，否認(rèn)自己的簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點(diǎn)，釋放計算機(jī)病毒等等。這致使數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。根據(jù)美國FBI（美國聯(lián)邦調(diào)查局）的調(diào)查，美國每年因為網(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過170億美元。75%的公司報告財政損失是由于計算機(jī)系統(tǒng)的安全問題造成的。超過50%的安全威脅來自內(nèi)部。而僅有59%的損失可以定量估算。在中國，針對銀行、證券等金融領(lǐng)域的計算機(jī)系統(tǒng)的安全問題所造成的經(jīng)濟(jì)損失金額已高達(dá)數(shù)億元，針對其他行業(yè)的網(wǎng)絡(luò)安全威脅也時有發(fā)生。

由此可見，無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。所以，計算機(jī)網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

3網(wǎng)絡(luò)安全的理論基礎(chǔ)

國際標(biāo)準(zhǔn)化組織（ISO）曾建議計算機(jī)安全的定義為：“計算機(jī)系統(tǒng)要保護(hù)其硬件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞。”為了幫助計算機(jī)用戶區(qū)分和解決計算機(jī)網(wǎng)絡(luò)安全問題，美國國防部公布了“桔皮書”（orange book，正式名稱為“可信計算機(jī)系統(tǒng)標(biāo)準(zhǔn)評估準(zhǔn)則”），對多用戶計算機(jī)系統(tǒng)安全級別的劃分進(jìn)行了規(guī)定。

桔皮書將計算機(jī)安全由低到高分為四類七級：D1、C1、C2、B1、B2、B3、A1。其中D1級是不具備最低安全限度的等級，C1和C2級是具備最低安全限度的等級，B1和B2級是具有中等安全保護(hù)能力的等級，B3和A1屬于最高安全等級。

D1級：計算機(jī)安全的最低一級，不要求用戶進(jìn)行用戶登錄和密碼保護(hù)，任何人都可以使用，整個系統(tǒng)是不可信任的，硬件軟件都易被侵襲。

C1級：自主安全保護(hù)級，要求硬件有一定的安全級（如計算機(jī)帶鎖），用戶必須通過登錄認(rèn)證方可使用系統(tǒng)，并建立了訪問許可權(quán)限機(jī)制。

C2級：受控存取保護(hù)級，比C1級增加了幾個特性：引進(jìn)了受控訪問環(huán)境，進(jìn)一步限制了用戶執(zhí)行某些系統(tǒng)指令；授權(quán)分級使系統(tǒng)管理員給用戶分組，授予他們訪問某些程序和分級目錄的權(quán)限；采用系統(tǒng)審計，跟蹤記錄所有安全事件及系統(tǒng)管理員工作。

B1級：標(biāo)記安全保護(hù)級，對網(wǎng)絡(luò)上每個對象都予實施保護(hù)；支持多級安全，對網(wǎng)絡(luò)、應(yīng)用程序工作站實施不同的安全策略；對象必須在訪問控制之下，不允許擁有者自己改變所屬資源的權(quán)限。

B2級：結(jié)構(gòu)化保護(hù)級，對網(wǎng)絡(luò)和計算機(jī)系統(tǒng)中所有對象都加以定義，給一個標(biāo)簽；為工作站、終端等設(shè)備分配不同的安全級別；按最小特權(quán)原則取消權(quán)力無限大的特權(quán)用戶。

B3級：安全域級，要求用戶工作站或終端必須通過信任的途徑連接到網(wǎng)絡(luò)系統(tǒng)內(nèi)部的主機(jī)上；采用硬件來保護(hù)系統(tǒng)的數(shù)據(jù)存儲區(qū)；根據(jù)最小特權(quán)原則，增加了系統(tǒng)安全員，將系統(tǒng)管理員、系統(tǒng)操作員和系統(tǒng)安全員的職責(zé)分離，將人為因素對計算機(jī)安全的威脅減至最小。A1級：驗證設(shè)計級，是計算機(jī)安全級中最高一級，本級包括了以上各級別的所有措施，并附加了一個安全系統(tǒng)的受監(jiān)視設(shè)計；合格的個體必須經(jīng)過分析并通過這一設(shè)計；所有構(gòu)成系

統(tǒng)的部件的來源都必須有安全保證；還規(guī)定了將安全計算機(jī)系統(tǒng)運(yùn)送到現(xiàn)場安裝所必須遵守的程序。

在網(wǎng)絡(luò)的具體設(shè)計過程中，應(yīng)根據(jù)網(wǎng)絡(luò)總體規(guī)劃中提出的各項技術(shù)規(guī)范、設(shè)備類型、性能要求以及經(jīng)費(fèi)等，綜合考慮來確定一個比較合理、性能較高的網(wǎng)絡(luò)安全級別，從而實現(xiàn)網(wǎng)絡(luò)的安全性和可靠性。

4網(wǎng)絡(luò)安全應(yīng)具備的功能

為了能更好地適應(yīng)信息技術(shù)的發(fā)展，計算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)必須具備以下功能：

（1）訪問控制：通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。

（2）檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效。

（3）攻擊監(jiān)控：通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取響應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。

（4）加密通訊：主動地加密通訊，可使攻擊者不能了解、修改敏感信息。

（5）認(rèn)證：良好的認(rèn)證體系可防止攻擊者假冒合法用戶。

（6）備份和恢復(fù)：良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。

（7）多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。

（8）設(shè)立安全監(jiān)控中心：為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護(hù)及緊急情況服務(wù)。5網(wǎng)絡(luò)系統(tǒng)安全綜合解決措施

要想實現(xiàn)網(wǎng)絡(luò)安全功能，應(yīng)對網(wǎng)絡(luò)系統(tǒng)進(jìn)行全方位防范，從而制定出比較合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。下面就網(wǎng)絡(luò)系統(tǒng)的安全問題，提出一些防范措施。

5.1物理安全

物理安全可以分為兩個方面：一是人為對網(wǎng)絡(luò)的損害；二是網(wǎng)絡(luò)對使用者的危害。

最常見的是施工人員由于對地下電纜不了解，從而造成電纜的破壞，這種情況可通過立標(biāo)志牌加以防范；未采用結(jié)構(gòu)化布線的網(wǎng)絡(luò)經(jīng)常會出現(xiàn)使用者對電纜的損壞，這就需要盡量采用結(jié)構(gòu)化布線來安裝網(wǎng)絡(luò)；人為或自然災(zāi)害的影響，需在規(guī)劃設(shè)計時加以考慮。

網(wǎng)絡(luò)對使用者的危害主要是電纜的電擊、高頻信號的幅射等，這需要對網(wǎng)絡(luò)的絕緣、接地和屏蔽工作做好。

5.2訪問控制安全

訪問控制識別并驗證用戶，將用戶限制在已授權(quán)的活動和資源范圍之內(nèi)。網(wǎng)絡(luò)的訪問控制安全可以從以下幾個方面考慮。

（1）口令

網(wǎng)絡(luò)安全系統(tǒng)的最外層防線就是網(wǎng)絡(luò)用戶的登錄，在注冊過程中，系統(tǒng)會檢查用戶的登錄名和口令的合法性，只有合法的用戶才可以進(jìn)入系統(tǒng)。

（2）網(wǎng)絡(luò)資源屬主、屬性和訪問權(quán)限

網(wǎng)絡(luò)資源主要包括共享文件、共享打印機(jī)、網(wǎng)絡(luò)通信設(shè)備等網(wǎng)絡(luò)用戶都有可以使用的資源。資源屬主體現(xiàn)了不同用戶對資源的從屬關(guān)系，如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性，如可被誰讀、寫或執(zhí)行等。訪問權(quán)限主要體現(xiàn)在用戶對網(wǎng)絡(luò)資源的可用程度上。利用指定網(wǎng)絡(luò)資源的屬主、屬性和訪問權(quán)限可以有效地在應(yīng)用級控制網(wǎng)絡(luò)系統(tǒng)的安全性。

（3）網(wǎng)絡(luò)安全監(jiān)視

網(wǎng)絡(luò)監(jiān)視通稱為“網(wǎng)管”，它的作用主要是對整個網(wǎng)絡(luò)的運(yùn)行進(jìn)行動態(tài)地監(jiān)視并及時處理各種事件。通過網(wǎng)絡(luò)監(jiān)視可以簡單明了地找出并解決網(wǎng)絡(luò)上的安全問題，如定位網(wǎng)絡(luò)故障點(diǎn)、捉

住IP盜用者、控制網(wǎng)絡(luò)訪問范圍等。

（4）審計和跟蹤

網(wǎng)絡(luò)的審計和跟蹤包括對網(wǎng)絡(luò)資源的使用、網(wǎng)絡(luò)故障、系統(tǒng)記帳等方面的記錄和分析。一般由兩部分組成：一是記錄事件，即將各類事件統(tǒng)統(tǒng)記錄到文件中；二是對記錄進(jìn)行分析和統(tǒng)計，從而找出問題所在。

5.3數(shù)據(jù)傳輸安全

傳輸安全要求保護(hù)網(wǎng)絡(luò)上被傳輸?shù)男畔ⅲ苑乐贡粍拥睾椭鲃拥厍址浮?shù)據(jù)傳輸安全可以采取如下措施：

（1）加密與數(shù)字簽名

任何良好的安全系統(tǒng)必須包括加密！這已成為既定的事實。網(wǎng)絡(luò)上的加密可以分為三層：第一層為數(shù)據(jù)鏈路層加密，即將數(shù)據(jù)在線路傳輸前后分別對其進(jìn)行加密和解密，這樣可以減少在傳輸線路上被竊取的危險；第二層是傳輸層的加密，使數(shù)據(jù)在網(wǎng)絡(luò)傳輸期間保持加密狀態(tài)；第三層是應(yīng)用層上的加密，讓網(wǎng)絡(luò)應(yīng)用程序?qū)?shù)據(jù)進(jìn)行加密和解密。當(dāng)然可以對這三層進(jìn)行綜合加密，以增強(qiáng)信息的安全性和可靠性。

數(shù)字簽名是數(shù)據(jù)的接收者用來證實數(shù)據(jù)的發(fā)送者確實無誤的一種方法，它主要通過加密算法和證實協(xié)議而實現(xiàn)。

（2）防火墻

防火墻（Firewall）是Internet上廣泛應(yīng)用的一種安全措施，它可以設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它能通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地檢測網(wǎng)絡(luò)內(nèi)外信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

（3）User Name/Password認(rèn)證

該種認(rèn)證方式是最常用的一種認(rèn)證方式，用于操作系統(tǒng)登錄、telnet（遠(yuǎn)程登錄）、rlogin（遠(yuǎn)程登錄）等，但此種認(rèn)證方式過程不加密，即password容易被監(jiān)聽和解密。

（4）使用摘要算法的認(rèn)證

Radius（遠(yuǎn)程撥號認(rèn)證協(xié)議）、OSPF（開放路由協(xié)議）、SNMP Security Protocol等均使用共享的Security Key（密鑰），加上摘要算法（MD5）進(jìn)行認(rèn)證，但摘要算法是一個不可逆的過程，因此，在認(rèn)證過程中，由摘要信息不能計算出共享的security key，所以敏感信息不能在網(wǎng)絡(luò)上傳輸。市場上主要采用的摘要算法主要有MD5和SHA-1。

（5）基于PKI的認(rèn)證

使用PKI（公開密鑰體系）進(jìn)行認(rèn)證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數(shù)字簽名等技術(shù)，很好地將安全性和高效性結(jié)合起來。這種認(rèn)證方法目前應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問、客戶認(rèn)證、防火墻認(rèn)證等領(lǐng)域。該種認(rèn)證方法安全程度很高，但是涉及到比較繁重的證書管理任務(wù)。

（6）虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)

VPN技術(shù)主要提供在公網(wǎng)上的安全的雙向通訊，采用透明的加密方案以保證數(shù)據(jù)的完整性和保密性。

VPN技術(shù)的工作原理：VPN系統(tǒng)可使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上實現(xiàn)安全通信，它采用復(fù)雜的算法來加密傳輸?shù)男畔ⅲ沟妹舾械臄?shù)據(jù)不會被竊聽。其處理過程大體是這樣：

① 要保護(hù)的主機(jī)發(fā)送明文信息到連接公共網(wǎng)絡(luò)的VPN設(shè)備；

② VPN設(shè)備根據(jù)網(wǎng)管設(shè)置的規(guī)則，確定是否需要對數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過。③ 對需要加密的數(shù)據(jù)，VPN設(shè)備對整個數(shù)據(jù)包進(jìn)行加密和附上數(shù)字簽名。

④ VPN設(shè)備加上新的數(shù)據(jù)報頭，其中包括目的地VPN設(shè)備需要的安全信息和一些初始化參數(shù)。

⑤ VPN設(shè)備對加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標(biāo)VPN設(shè)備的IP地址進(jìn)行重新封裝，重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸。

⑥ 當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)VPN設(shè)備時，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對無誤后，數(shù)據(jù)包被解密。

綜上所述，對于計算機(jī)網(wǎng)絡(luò)傳輸?shù)陌踩珕栴}，我們必須要做到以下幾點(diǎn)。第一，應(yīng)嚴(yán)格限制上網(wǎng)用戶所訪問的系統(tǒng)信息和資源，這一功能可通過在訪問服務(wù)器上設(shè)置NetScreen防火墻來實現(xiàn)。第二，應(yīng)加強(qiáng)對上網(wǎng)用戶的身份認(rèn)證，使用RADIUS等專用身份驗證服務(wù)器。一方面，可以實現(xiàn)對上網(wǎng)用戶帳號的統(tǒng)一管理；另一方面，在身份驗證過程中采用加密的手段，避免用戶口令泄露的可能性。第三，在數(shù)據(jù)傳輸過程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。一種方法是使用PGP for Business Security對數(shù)據(jù)加密。另一種方法是采用NetScreen防火墻所提供的VPN技術(shù)。VPN在提供網(wǎng)間數(shù)據(jù)加密的同時，也提供了針對單機(jī)用戶的加密客戶端軟件，即采用軟件加密的技術(shù)來保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

第二篇：計算機(jī)網(wǎng)絡(luò)安全問題淺析論文

畢業(yè)論文

論文題目： 計算機(jī)網(wǎng)絡(luò)安全問題淺析

專 業(yè)： 計算機(jī)信息管理 作 者： 韓子厚 學(xué) 校： 天津城市建設(shè)管理職業(yè)技術(shù)學(xué)院 指導(dǎo)教師：

2011年 月 日

目錄

內(nèi)容摘要.............................................................2 計算機(jī)網(wǎng)絡(luò)安全.......................................................3

第一章 方案目標(biāo)......................................................3 第二章 安全需求......................................................3 第三章 風(fēng)險分析......................................................4 第四章 解決方案......................................................4 參考文獻(xiàn)............................................................11 致謝................................................................12

內(nèi)容摘要

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時間和金錢上是很充足、富有的人。同時，必須清楚地認(rèn)識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。

關(guān)鍵詞 互聯(lián)網(wǎng) 網(wǎng)絡(luò)安全 遠(yuǎn)程服務(wù) 編程 數(shù)據(jù)

計算機(jī)網(wǎng)絡(luò)安全

第一章 方案目標(biāo)

本方案主要從網(wǎng)絡(luò)層次考慮，將網(wǎng)絡(luò)系統(tǒng)設(shè)計成一個支持各級別用戶或用戶群的安全網(wǎng)絡(luò)，該網(wǎng)在保證系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全的同時，還實現(xiàn)與Internet或國內(nèi)其它網(wǎng)絡(luò)的安全互連。本方案在保證網(wǎng)絡(luò)安全可以滿足各種用戶的需求，比如：可以滿足個人的通話保密性，也可以滿足企業(yè)客戶的計算機(jī)系統(tǒng)的安全保障，數(shù)據(jù)庫不被非法訪問和破壞，系統(tǒng)不被病毒侵犯，同時也可以防止諸如反動淫穢等有害信息在網(wǎng)上傳播等。

需要明確的是，安全技術(shù)并不能杜絕所有的對網(wǎng)絡(luò)的侵?jǐn)_和破壞，它的作用僅在于最大限度地防范，以及在受到侵?jǐn)_的破壞后將損失盡旦降低。具體地說，網(wǎng)絡(luò)安全技術(shù)主要作用有以下幾點(diǎn)：

1．采用多層防衛(wèi)手段，將受到侵?jǐn)_和破壞的概率降到最低； 2．提供迅速檢測非法使用和非法初始進(jìn)入點(diǎn)的手段，核查跟蹤侵入者的活動；

3．提供恢復(fù)被破壞的數(shù)據(jù)和系統(tǒng)的手段，盡量降低損失； 4．提供查獲侵入者的手段。

網(wǎng)絡(luò)安全技術(shù)是實現(xiàn)安全管理的基礎(chǔ)，近年來，網(wǎng)絡(luò)安全技術(shù)得到了迅猛發(fā)展，已經(jīng)產(chǎn)生了十分豐富的理論和實際內(nèi)容。

第二章 安全需求

通過對網(wǎng)絡(luò)系統(tǒng)的風(fēng)險分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。即，可用性： 授權(quán)實體有權(quán)訪問數(shù)據(jù)

機(jī)密性： 信息不暴露給未授權(quán)實體或進(jìn)程 完整性： 保證數(shù)據(jù)不被未授權(quán)修改

可控性： 控制授權(quán)范圍內(nèi)的信息流向及操作方式 可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段

訪問控制：需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離，對與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制。同樣，對內(nèi)部網(wǎng)絡(luò)，由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離，并實現(xiàn)相互的訪問控制。

數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。

安全審計： 是識別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容，一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng)，識別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為，即時響應(yīng)（如報警）并進(jìn)行阻斷；二是對信息內(nèi)容的審計，可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏

第三章 風(fēng)險分析

網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運(yùn)行的前提。網(wǎng)絡(luò)安全不單是單點(diǎn)的安全，而是整個信息網(wǎng)的安全，需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理方面進(jìn)行立體的防護(hù)。要知道如何防護(hù)，首先需要了解安全風(fēng)險來自于何處。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個層面上的諸多風(fēng)險類。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成網(wǎng)絡(luò)的中斷。根據(jù)國內(nèi)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況，應(yīng)當(dāng)從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進(jìn)行全面地分析。

風(fēng)險分析是網(wǎng)絡(luò)安全技術(shù)需要提供的一個重要功能。它要連續(xù)不斷地對網(wǎng)絡(luò)中的消息和事件進(jìn)行檢測，對系統(tǒng)受到侵?jǐn)_和破壞的風(fēng)險進(jìn)行分析。風(fēng)險分析必須包括網(wǎng)絡(luò)中所有有關(guān)的成分。

第四章 解決方案

4.1 設(shè)計原則

針對網(wǎng)絡(luò)系統(tǒng)實際情況，解決網(wǎng)絡(luò)的安全保密問題是當(dāng)務(wù)之急，考慮技術(shù)難度及經(jīng)費(fèi)等因素，設(shè)計時應(yīng)遵循如下思想：

1．大幅度地提高系統(tǒng)的安全性和保密性；

2．保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性；

3．易于操作、維護(hù)，并便于自動化管理，而不增加或少增加附加操作； 4．盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展； 5．安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用； 6．安全與密碼產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認(rèn)可或認(rèn)證；

7．分步實施原則：分級管理 分步實施。4.2 安全策略

針對上述分析，我們采取以下安全策略：

1．采用漏洞掃描技術(shù)，對重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險評估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。

2．采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：

(1)防火墻技術(shù)：在網(wǎng)絡(luò)的對外接口，采用防火墻技術(shù)，在網(wǎng)絡(luò)層進(jìn)行訪問控制。

(2)NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息。

(3)VPN：虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個安全的私有連接。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的機(jī)器都處于一個網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨(dú)占使用，而事實上并非如此。

(4）網(wǎng)絡(luò)加密技術(shù)(Ipsec)：采用網(wǎng)絡(luò)加密技術(shù)，對公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝，實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾浴Ｋ山鉀Q網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。

(5)認(rèn)證：提供基于身份的認(rèn)證，并在各種認(rèn)證機(jī)制中可選擇使用。(6)多層次多級別的企業(yè)級的防病毒系統(tǒng)：采用多層次多級別的企業(yè)級的防病毒系統(tǒng)，對病毒實現(xiàn)全面的防護(hù)。

(7）網(wǎng)絡(luò)的實時監(jiān)測：采用入侵檢測系統(tǒng)，對主機(jī)和網(wǎng)絡(luò)進(jìn)行監(jiān)測和預(yù)警，進(jìn)一步提高網(wǎng)絡(luò)防御外來攻擊的能力。

3．實時響應(yīng)與恢復(fù)：制定和完善安全管理制度，提高對網(wǎng)絡(luò)攻擊等實時響應(yīng)與恢復(fù)能力。

4．建立分層管理和各級安全管理中心。4.3 防御系統(tǒng)

我們采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)（Ipsec）、身份認(rèn)證技術(shù)、多層次多級別的防病毒系統(tǒng)、入侵檢測技術(shù)，構(gòu)成網(wǎng)絡(luò)安全的防御系統(tǒng)。4.3.1 物理安全

物理安全是保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機(jī)犯罪行為導(dǎo)致的破壞過程。

為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴(kuò)散。通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴(kuò)散出去的空間信號。這是政府、軍隊、金融機(jī)構(gòu)在興建信息中心時首要的設(shè)置的條件。

為保證網(wǎng)絡(luò)的正常運(yùn)行，在物理安全方面應(yīng)采取如下措施：

1．產(chǎn)品保障方面：主要指產(chǎn)品采購、運(yùn)輸、安裝等方面的安全措施。2．運(yùn)行安全方面：網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。

3．防電磁輻射方面：所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機(jī)。

4．保安方面：主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計算機(jī)、安全設(shè)備的安全防護(hù)。4.3.2 防火墻技術(shù)

防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過控制入、出一個網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物

理實現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備――路由器、計算機(jī)或其他特制地硬件設(shè)備。防火墻可以是獨(dú)立地系統(tǒng)，也可以在一個進(jìn)行網(wǎng)絡(luò)互連地路由器上實現(xiàn)防火墻。用防火墻來實現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：

（1）屏蔽路由器：又稱包過濾防火墻。

（2）雙穴主機(jī)：雙穴主機(jī)是包過濾網(wǎng)關(guān)的一種替代。（3）主機(jī)過濾結(jié)構(gòu)：這種結(jié)構(gòu)實際上是包過濾和代理的結(jié)合。（4）屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的變形。根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。4.3.2.1 包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn) ,一旦發(fā)現(xiàn)來自危險站點(diǎn)的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。包過濾技術(shù)的優(yōu)點(diǎn)是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。4.3.2.2 網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的IP地址。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只

是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。當(dāng)符合規(guī)則時，防火墻認(rèn)為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機(jī)中。當(dāng)不符合規(guī)則時，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。4.3.2.3 代理型

代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。

4.3.2.4 監(jiān)測型

監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品,雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開

始使用監(jiān)測型防火墻。基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本。實際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。相關(guān)性：畢業(yè)論文,免費(fèi)畢業(yè)論文,大學(xué)畢業(yè)論文,畢業(yè)論文模板 4.3.3 入侵檢測

入侵檢測是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為

是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。這些都通過它執(zhí)行以下任務(wù)來實現(xiàn)：

1．監(jiān)視、分析用戶及系統(tǒng)活動； 2．系統(tǒng)構(gòu)造和弱點(diǎn)的審計；

3．識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警； 4．異常行為模式的統(tǒng)計分析； 5．評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；

6．操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。4.4 安全服務(wù)

網(wǎng)絡(luò)是個動態(tài)的系統(tǒng)，它的變化包括網(wǎng)絡(luò)設(shè)備的調(diào)整，網(wǎng)絡(luò)配置的變化，各種操作系統(tǒng)、應(yīng)用程序的變化，管理人員的變化。即使最初制定的安全策略十分可靠，但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的不斷變化，安全策略可能失效，必須及時進(jìn)行相應(yīng)的調(diào)整。針對以上問題和網(wǎng)管人員的不足，下面介紹一系列比較重要的網(wǎng)絡(luò)服務(wù)。包括：

4.4.1 通信伙伴認(rèn)證

通信伙伴認(rèn)證服務(wù)的作用是通信伙伴之間相互確庥身份，防止他人插入通信過程。認(rèn)證一般在通信之前進(jìn)行。但在必要的時候也可以在通信過程中隨時進(jìn)行。認(rèn)證有兩種形式，一種是檢查一方標(biāo)識的單方認(rèn)證，一種是通信雙方相互檢查對方標(biāo)識的相互認(rèn)證。

通信伙伴認(rèn)證服務(wù)可以通過加密機(jī)制，數(shù)字簽名機(jī)制以及認(rèn)證機(jī)制實現(xiàn)。4.4.2 訪問控制

訪問控制服務(wù)的作用是保證只有被授權(quán)的用戶才能訪問網(wǎng)絡(luò)和利用資源。訪問控制的基本原理是檢查用戶標(biāo)識，口令，根據(jù)授予的權(quán)限限制其對資源的利用范圍和程度。例如是否有權(quán)利用主機(jī)CPU運(yùn)行程序，是否有權(quán)對數(shù)據(jù)庫進(jìn)行查詢和修改等等。訪問控制服務(wù)通過訪問控制機(jī)制實現(xiàn)。4.4.3 數(shù)據(jù)保密

數(shù)據(jù)保密服務(wù)的作用是防止數(shù)據(jù)被無權(quán)者閱讀。數(shù)據(jù)保密既包括存儲中的數(shù)據(jù)，也包括傳輸中的數(shù)據(jù)。保密查以對特定文件，通信鏈路，甚至文件中指定的字段進(jìn)行。

數(shù)據(jù)保密服務(wù)可以通過加密機(jī)制和路由控制機(jī)制實現(xiàn)。4.4.4 業(yè)務(wù)流分析保護(hù)

業(yè)務(wù)流分析保護(hù)服務(wù)的作用是防止通過分析業(yè)務(wù)流，來獲取業(yè)務(wù)量特征，信息長度以及信息源和目的地等信息。

業(yè)務(wù)流分析保護(hù)服務(wù)可以通過加密機(jī)制，偽裝業(yè)務(wù)流機(jī)制，路由控制機(jī)制實現(xiàn)。

4.4.5 數(shù)據(jù)完整性保護(hù)

數(shù)據(jù)完整性保護(hù)服務(wù)的作用是保護(hù)存儲和傳輸中的數(shù)據(jù)不被刪除，更改，插入和重復(fù)，必要時該服務(wù)也可以包含一定的恢復(fù)功能。數(shù)據(jù)完整性保護(hù)服務(wù)可以通過加密機(jī)制，數(shù)字簽名機(jī)制以及數(shù)據(jù)完整性機(jī)制實現(xiàn) 4.4.6 簽字

簽字服務(wù)是用發(fā)送簽字的辦法來對信息的接收進(jìn)行確認(rèn)，以證明和承認(rèn)信息是由簽字者發(fā)出或接收的。這個服務(wù)的作用在于避免通信雙方對信息的來源發(fā)生爭議。簽字服務(wù)通過數(shù)字簽名機(jī)制及公證機(jī)制實現(xiàn)。4.5 安全技術(shù)的研究現(xiàn)狀和動向

我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計算機(jī)技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機(jī)整體。國際上信息安全研究起步較早，力度大，積累多，應(yīng)用廣，在70年代美國的網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計算機(jī)保密模型”（Beu& La padula模型）的基礎(chǔ)上，指定了“

可信計算機(jī)系統(tǒng)安全評估準(zhǔn)則”（TCSEC），其后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面和系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則。

結(jié)論

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

本論文從多方面描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個方面的網(wǎng)絡(luò)安全問題的解決，可以使讀者有對網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。

參考文獻(xiàn)

[1] 韓希義, 計算機(jī)網(wǎng)絡(luò)基礎(chǔ),北京高等教育出版社，2004 [2]徐敬東等, 計算機(jī)網(wǎng)絡(luò), 北京清華大學(xué)出版社，2002

[3]沈輝等, 計算機(jī)網(wǎng)絡(luò)工程與實訓(xùn),北京清華大學(xué)出版社，2002 [4] 褚建立等, 計算機(jī)網(wǎng)絡(luò)技術(shù)實用教程,北京電子工業(yè)出版社，2003 [5] 劉化君, 計算機(jī)網(wǎng)絡(luò)原理與技術(shù),北京電子工業(yè)出版社，2005 [6] 謝希仁, 計算機(jī)網(wǎng)絡(luò), 北京電子工業(yè)出版社，1999 [7] 陸姚遠(yuǎn), 計算機(jī)網(wǎng)絡(luò)技術(shù), 北京高等教育出版社，2000 [8] 劉習(xí)華等, 網(wǎng)絡(luò)工程,重慶大學(xué)出版社，2004 [9] 彭澎, 計算機(jī)網(wǎng)絡(luò)實用教程,北京電子工業(yè)出版社，2000 [10] 陳月波, 使用組網(wǎng)技術(shù)實訓(xùn)教程,北京科學(xué)出版社，2003 致謝

本研究及學(xué)位論文是在我的導(dǎo)師 副教授的親切關(guān)懷和悉心指導(dǎo)下完成的。他嚴(yán)肅的科學(xué)態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神，精益求精的工作作風(fēng)，深深地感染和激勵著我。從課題的選擇到項目的最終完成，鄭老師都始終給予我細(xì)心的指導(dǎo)和不懈的支持。兩年多來，鄭教授不僅在學(xué)業(yè)上給我以精心指導(dǎo)，同時還在思想、生活上給我以無微不至的關(guān)懷，在此謹(jǐn)向鄭老師致以誠摯的謝意和崇高的敬意。

在此，我還要感謝在一起愉快的度過研究生生活的 各位同門，正是由于你們的幫助和支持，我才能克服一個一個的困難和疑惑，直至本文的順利完成。特別感謝我的師妹葉秋香同學(xué)，她對本課題做了不少工作，給予我不少的幫助。

在論文即將完成之際，我的心情無法平靜，從開始進(jìn)入課題到論文的順利完成，有多少可敬的師長、同學(xué)、朋友給了我無言的幫助，在這里請接受我誠摯的謝意!最后我還要感謝培養(yǎng)我長大含辛茹苦的父母，謝謝你們!

第三篇：計算機(jī)網(wǎng)絡(luò)安全問題分析

計算機(jī)網(wǎng)絡(luò)安全問題分析

鄭培紅 周剛

摘要: 計算機(jī)網(wǎng)絡(luò)安全問題已成為當(dāng)今信息時代的研究熱點(diǎn)。當(dāng)前的網(wǎng)絡(luò)存在著計算機(jī)病毒、計算機(jī)黑客攻擊等等問題。本文介紹了當(dāng)前的計算機(jī)網(wǎng)絡(luò)面臨的威脅, 而后介紹到計算機(jī)網(wǎng)絡(luò)安全的特征, 最后給出幾點(diǎn)意見。

關(guān)鍵詞: 計算機(jī)網(wǎng)絡(luò)安全;黑客;病毒

一、引言 世紀(jì)全世界的計算機(jī)都將通過Internet 聯(lián)到一起, 信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范, 而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入21 世紀(jì)這一信息社會、網(wǎng)絡(luò)社會的時候, 我國建立起一套完整的網(wǎng)絡(luò)安全體系, 特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。在當(dāng)今網(wǎng)絡(luò)化的世界中, 網(wǎng)絡(luò)的開放性和共享性在方便了人們使用的同時, 也使得網(wǎng)絡(luò)很容易受到攻擊, 計算機(jī)信息和資源也很容易受到黑客的攻擊, 甚至是后果十分嚴(yán)重的攻擊, 諸如數(shù)據(jù)被人竊取, 服務(wù)器不能提供服務(wù)等等。因此, 網(wǎng)絡(luò)和信息安全技術(shù)也越來越受到人們的重視, 由此推動了入侵檢測、虛擬專用網(wǎng)、訪問控制、面向?qū)ο笙到y(tǒng)的安全等各種網(wǎng)絡(luò)、信息安全技術(shù)的蓬勃發(fā)展。

計算機(jī)網(wǎng)絡(luò)是計算機(jī)科學(xué)發(fā)展到一定階段的產(chǎn)物, 是由計算機(jī)系統(tǒng)和終端設(shè)備, 通過線路連接形成的, 實現(xiàn)了用戶遠(yuǎn)程通信和資源的共享, 而且有較高的可靠性和擴(kuò)展性。計算機(jī)網(wǎng)絡(luò)化是信息社會的主要標(biāo)志之一。互聯(lián)網(wǎng)是通過TCP/IP 協(xié)議將各個不同地區(qū)及不同結(jié)構(gòu)的計算機(jī)連接在一起組成的網(wǎng)絡(luò)形式。隨著互聯(lián)網(wǎng)用戶的不斷發(fā)展促進(jìn)了信息交流, 然而，網(wǎng)絡(luò)的發(fā)展也帶來安全方面的問題, 例如網(wǎng)絡(luò)中使用的傳輸控制協(xié)議(TCP)、互聯(lián)網(wǎng)協(xié)議、IP、路由器等都會出現(xiàn)安全方面的問題, 需要采取鑒別、數(shù)據(jù)加密、數(shù)字簽名、防火墻等必需的安全機(jī)制和防護(hù)措施。

二、計算機(jī)網(wǎng)絡(luò)面臨的威脅

計算機(jī)網(wǎng)絡(luò)所面臨的威脅大體可分為兩種: 一是對網(wǎng)絡(luò)中信息的威脅;二是對網(wǎng)絡(luò)中設(shè)備的威脅。影響計算機(jī)網(wǎng)絡(luò)的因素很多, 針對網(wǎng)絡(luò)安全的威脅主要有以下幾種。

一是無意失誤。如操作員安全配置不當(dāng)造成的安全漏洞, 用戶安全意識不強(qiáng), 用戶口令選擇不慎, 用戶將自己的口令隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。二是人為的惡意攻擊。這是計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅, 敵手的攻擊和計算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種: 一種是主動攻擊, 它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊, 它是在不影響網(wǎng)絡(luò)正常工作的情況下, 進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對計算機(jī)網(wǎng)絡(luò)造成極大的危害, 并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。三是網(wǎng)絡(luò)軟件的漏洞和“后門”。網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的, 而這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo), 經(jīng)常出現(xiàn)的黑客攻擊網(wǎng)絡(luò)內(nèi)部的事件, 這些事件的大部分就是因為安全措施不完善所招致的苦果。

三、計算機(jī)網(wǎng)絡(luò)安全問題的特征

（一）網(wǎng)絡(luò)安全先天脆弱

計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的脆弱性是伴隨計算機(jī)網(wǎng)絡(luò)一同產(chǎn)生的, 換句話說, 安全系統(tǒng)脆弱是計算機(jī)網(wǎng)絡(luò)與生俱來的致命弱點(diǎn)。在網(wǎng)絡(luò)建設(shè)中, 網(wǎng)絡(luò)特性決定了不可能無條件、無限制的提高其安全性能。要使網(wǎng)絡(luò)更方便快捷, 又要保證網(wǎng)絡(luò)安全, 這是一個非常棘手的“兩難選擇”, 而網(wǎng)絡(luò)安全只能在“兩難選擇”所允許的范圍中尋找支撐點(diǎn)。因此, 可以說世界上任何一個計算機(jī)網(wǎng)絡(luò)都不是絕對安全的。

（二）黑客攻擊后果嚴(yán)重

近幾年, 黑客猖狂肆虐, 四面出擊, 使交通通訊網(wǎng)絡(luò)中斷, 軍事指揮系統(tǒng)失靈, 電力供水系統(tǒng)癱瘓, 銀行金融系統(tǒng)混亂--危及國家的政治、軍事、經(jīng)濟(jì)的安全與穩(wěn)定, 在世界各國造成了難以估量的損。

（三）網(wǎng)絡(luò)殺手集團(tuán)化

目前, 網(wǎng)絡(luò)殺手除了一般的黑客外, 還有一批具有高精尖技術(shù)的“專業(yè)殺手”, 更令人擔(dān)憂的是出現(xiàn)了具有集團(tuán)性質(zhì)的“網(wǎng)絡(luò)恐怖分子”甚至政府出面組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”, 其規(guī)模化、專業(yè)性和破壞程度都使其他黑客望塵莫及。可以說, 由政府組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”是當(dāng)前網(wǎng)絡(luò)安全的最大隱患。目前, 美國正開展用無線電方式、衛(wèi)星輻射式注入方式、網(wǎng)絡(luò)方式把病毒植入敵方計算機(jī)主機(jī)或各類傳感器、網(wǎng)橋中的研究以伺機(jī)破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡(luò)系統(tǒng)。另外, 為達(dá)到預(yù)定目的, 對出售給潛在敵手的計算機(jī)芯片進(jìn)行暗中修改, 在CPU 中設(shè)置“芯片陷阱”, 可使美國通過因特網(wǎng)發(fā)布指令讓敵方電腦停止工作, 以起到“定時炸彈”的作用。

（三）破壞手段多元化

目前,“網(wǎng)絡(luò)恐怖分子”除了制造、傳播病毒軟件、設(shè)置“郵箱炸彈”, 更多的是采取借助工具軟件對網(wǎng)絡(luò)發(fā)動襲擊, 令其癱瘓或者盜用一些大型研究機(jī)構(gòu)的服務(wù)器, 使用“拒絕服務(wù)”程序, 如TFN 和與之相近的程序等, 指揮它們向目標(biāo)網(wǎng)站傳輸遠(yuǎn)遠(yuǎn)超出其帶寬容量的垃圾數(shù)據(jù), 從而使其運(yùn)行中斷。多名黑客甚至可以借助同樣的軟件在不同的地點(diǎn)“集中火力”對一個或者多個網(wǎng)絡(luò)發(fā)起攻擊。而且, 黑客們還可以把這些軟件神不知鬼不覺地通過互聯(lián)網(wǎng)安裝到別人的電腦上, 然后, 在電腦主人根本不知道的情況下“借刀殺人”。總之, 影響網(wǎng)絡(luò)安全的兩大方面: 一是來自外部網(wǎng)絡(luò)的安全問題。二是來自內(nèi)部網(wǎng)絡(luò)的安全問題。

四、加強(qiáng)計算機(jī)網(wǎng)絡(luò)的安全防范措施

（一）提高思想認(rèn)識

近年來, 中國的網(wǎng)絡(luò)發(fā)展非常迅速, 同時, 中國的網(wǎng)絡(luò)安全也越來越引起人們的關(guān)注, 國家權(quán)威部門曾對國內(nèi)網(wǎng)站的安全系統(tǒng)進(jìn)行測試, 發(fā)現(xiàn)不少單位的計算機(jī)系統(tǒng)都存在安全漏洞, 有些單位還非常嚴(yán)重, 隨時可能被黑客入侵。當(dāng)前, 世界各國對信息戰(zhàn)十分重視, 假如我們的網(wǎng)絡(luò)安全無法保證, 這勢必影響到國家政治、經(jīng)濟(jì)的安全。因此, 從思想上提高對計算機(jī)網(wǎng)絡(luò)安全重要性的認(rèn)識,是我們當(dāng)前的首要任務(wù)。

（二）健全管理制度

任何網(wǎng)站都不是絕對安全的, 值得一提的是, 當(dāng)前一些單位在急忙趕搭“網(wǎng)絡(luò)快車”時, 只管好用, 不管安全, 這種短視必然帶來嚴(yán)重的惡果, 與“網(wǎng)絡(luò)恐怖分子”的較量是一場“沒有硝煙的戰(zhàn)爭”, 是高科技的較量, 是“硬碰硬”的較量。根據(jù)這一情況, 當(dāng)前工作的重點(diǎn), 一是要狠抓日常管理制度的落實, 要把安全管理制度落實到每一個環(huán)節(jié)中;二是要加強(qiáng)計算機(jī)從業(yè)人員的行業(yè)歸口管理, 對這些人員要強(qiáng)化安全教育和法制教育, 建立人員管理檔案并進(jìn)行定期的檢查和培訓(xùn);三是要建立一支反黑客的“快速反應(yīng)部隊”, 同時加快加緊培養(yǎng)高水平的網(wǎng)絡(luò)系統(tǒng)管理員, 并盡快掌握那些關(guān)鍵技術(shù)和管理知識。

（三）強(qiáng)化防范措施

一般來說, 影響計算機(jī)網(wǎng)絡(luò)安全的因素很多, 但目前最主要的因素是接受電子郵件和下載軟件兩種。下面就這兩種方式談?wù)劵镜姆婪洞胧? 1 切實保護(hù)電子郵件的安全

第一, 要做好郵件帳戶的安全防范。一定要保護(hù)好郵箱的密碼。入網(wǎng)帳號與口令應(yīng)該是需要保護(hù)的重中之重, 密碼要取得有技巧、有難度, 密碼最好能有多位數(shù), 且數(shù)字與字母相間, 中間還可以允許用特殊符號。對于比較重要的郵件地址不要隨便在網(wǎng)上暴露。第二, 將郵件信息加密處理。如使用A-LOCK, 在發(fā)送郵件之前對內(nèi)容(復(fù)制到粘貼板上)進(jìn)行加密。對方收到這種加密信件之后也必須用A-LOCK 來進(jìn)行解密才能閱讀信件。即使有人截獲了郵件信息, 看到的也是一堆毫無意義的亂碼。第三, 防止郵件炸彈。下面介紹幾種對付電子郵件炸彈的方法: ① 過濾電子郵件。凡可疑的E-MAIL 盡量不要開啟: 如果懷疑信箱有炸彈, 可以用郵件程序的遠(yuǎn)程郵箱管理功能來過濾信件, 如國產(chǎn)的郵件程序Foxmail。在進(jìn)行郵箱的遠(yuǎn)程管理時, 仔細(xì)檢查郵件頭信息, 如果發(fā)現(xiàn)有來歷可疑的信件或符合郵件炸彈特征的信件, 可以直接把它從郵件服務(wù)器上刪除。② 使用殺毒軟件。一是郵件有附件的話, 不管是誰發(fā)過來的, 也不管其內(nèi)容是什么(即使是文檔, 也往往能成為病毒的潛伏場所, 像著名的Melissa), 都不要立即執(zhí)行, 而是先存盤, 然后用殺毒軟件檢查一番, 以確保安全。二是注意目前網(wǎng)上有一些別有用心的人以網(wǎng)站的名義, 讓你接受他們通過郵件附件推給你的軟件(多半是木馬S 端), 并以種種借口要求你立即執(zhí)行。對此, 凡是發(fā)過來的任何程序、甚至文檔都應(yīng)用殺毒軟件檢查一番。③ 使用轉(zhuǎn)信功能。用戶一般都有幾個E-mail 地址。最好申請一個容量較大的郵箱作為收信信箱。對于其它各種信箱, 最好支持轉(zhuǎn)信功能的, 并設(shè)置轉(zhuǎn)信到大信箱。所有其它郵件地址的信件都會自動轉(zhuǎn)寄到大信箱內(nèi), 可以很好地起到保護(hù)信箱的作用。第四, 申請郵件數(shù)字簽證。數(shù)字簽證不但能夠保護(hù)郵件的信息安全, 而且通過它可以確認(rèn)信件的發(fā)送者。最后要注意對本地的已收發(fā)郵件進(jìn)行相應(yīng)的刪除處理。2 切實保障下載軟件的安全

對于網(wǎng)絡(luò)軟件, 需要指出的是: 一方面, 網(wǎng)上大多數(shù)的信息都是干凈的, 但也確實有一部分受到“污染”, 尤其是黑客和“網(wǎng)絡(luò)恐

怖分子”利用各種方法在網(wǎng)上擴(kuò)散病毒、木馬等以制造混亂, 而且手段十分狡猾、隱蔽, 很容易中了他們的圈套。另一方面, 由于因特網(wǎng)的迅捷與無所不在, 各式病毒、木馬的傳播速度和傳播范圍達(dá)到了前所未有的程度。因此我們對下載軟件和接受的E-MAIL 決不可大意。下載軟件時應(yīng)該注意:第一, 下載軟件應(yīng)盡量選擇客流大的專業(yè)站點(diǎn)。大型的專業(yè)站點(diǎn), 資金雄厚, 技術(shù)成熟, 水平較高, 信譽(yù)較佳, 大都有專人維護(hù),安全性能好, 提供的軟件問題較少。相比之下, 那些小型的個人站點(diǎn)所提供的軟件出問題的機(jī)率較高。第二, 從網(wǎng)上下載來軟件要進(jìn)行殺毒處理。對下載的任何軟件, 不要立即使用,WORD 文檔也不宜直接打開, 而應(yīng)先用殺毒軟件檢測一番, 進(jìn)行殺毒處理。殺毒軟件應(yīng)當(dāng)始終保持最新版本, 最好每月升級一次。第三, 防止染上“木馬”。一旦染上木馬后, 它就會給你的Windows 留下后門, 秘密監(jiān)視網(wǎng)絡(luò)信息, 一旦發(fā)現(xiàn)遠(yuǎn)方控制指令, 就會秘密地予以回應(yīng), 可以讓遠(yuǎn)方的控制者掌握對機(jī)器的完全控制權(quán)。此后在你完全不知的情況下, 遠(yuǎn)方的侵入者可以隨時在因特網(wǎng)上無限制地訪問你的計算機(jī), 因此它的危害是不言而喻的。最簡便有效的預(yù)防措施是, 避免啟動服務(wù)器端(S 端)。消除木馬的具體操作是, 首先拜訪注冊表, 獲取木馬的裝入信息, 找出S 端程序放于何處。然后先將注冊表中的木馬配置鍵刪掉, 重新啟動計算機(jī), 再將程序也刪掉。21 世紀(jì)人類步入信息社會后, 網(wǎng)絡(luò)安全技術(shù)成為信息網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù), 信息這一社會發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障, 才能形成社會發(fā)展的推動力。在我國, 信息網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)仍處于起步階段, 有大量的工作需要我們?nèi)パ芯俊㈤_發(fā)和探索。我們只有走有中國特色的防火墻技術(shù)發(fā)展之路, 以超常規(guī)的思路和超常規(guī)的措施, 趕上和超過發(fā)達(dá)國家的水平, 才能保證我國信息網(wǎng)絡(luò)的安全, 推動我國國民經(jīng)濟(jì)的高速發(fā)展。

第四篇：論當(dāng)今計算機(jī)網(wǎng)絡(luò)安全問題

計算機(jī)網(wǎng)絡(luò)安全問題淺析

摘要：

隨著科技的發(fā)展，互聯(lián)網(wǎng)已經(jīng)滲透到人們生活的各個領(lǐng)域之中，人們對計算機(jī)和網(wǎng)絡(luò)的應(yīng)用和依賴程度愈來愈高，信息化的社會對互聯(lián)網(wǎng)的要求也越來越高，人們對計算機(jī)的使用，已不是簡單的運(yùn)算，與此同時計算機(jī)網(wǎng)絡(luò)的問題也就凸現(xiàn)出來，計算機(jī)網(wǎng)絡(luò)安全問題，直接關(guān)系到一個國家的政治、軍事、經(jīng)濟(jì)等領(lǐng)域的安全和穩(wěn)定，因此，網(wǎng)絡(luò)安全是非常重要的問題，網(wǎng)絡(luò)安全問題成為了人們在使用計算機(jī)中越來越重視的問題。

關(guān)鍵詞：互聯(lián)網(wǎng) 計算機(jī) 網(wǎng)絡(luò)安全引言世紀(jì)的一些重要特征就是數(shù)字化、網(wǎng)絡(luò)化和信息化,它是一個以網(wǎng)絡(luò)為核心的信息時代。網(wǎng)絡(luò)現(xiàn)已成為信息社會的命脈和發(fā)展知識經(jīng)濟(jì)的重要基礎(chǔ)。網(wǎng)絡(luò)是指“三網(wǎng)”，即電信網(wǎng)絡(luò)、有線電視網(wǎng)絡(luò)和計算機(jī)網(wǎng)絡(luò)。發(fā)展最快的并起到核心作用的是計算機(jī)網(wǎng)絡(luò)。因特網(wǎng)起源于美國現(xiàn)已發(fā)展成為世界上最大的國際性計算機(jī)互聯(lián)網(wǎng)，因特網(wǎng)又稱國際互聯(lián)網(wǎng)，是全球性的網(wǎng)絡(luò)，是一種公用信息的載體，是大眾傳媒的一種。具有快捷性、普及性，是現(xiàn)今最流行、最受歡迎的傳媒之一。這種大眾傳媒比以往的任何一種通訊媒體都要快。互聯(lián)網(wǎng)是由一些使用公用語言互相通信的計算機(jī)連接而成的網(wǎng)絡(luò)，即廣域網(wǎng)、局域網(wǎng)及單機(jī)按照一定的通訊協(xié)議組成的國際計算機(jī)網(wǎng)絡(luò)。

2計算機(jī)網(wǎng)絡(luò)安全

2.1 互聯(lián)網(wǎng)安全 互聯(lián)網(wǎng)安全從其本質(zhì)上來講就是互聯(lián)網(wǎng)上的信息安全。從廣義來說，凡是涉及到互聯(lián)網(wǎng)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。互聯(lián)網(wǎng)安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通

信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。由于設(shè)計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使網(wǎng)絡(luò)系統(tǒng)在穩(wěn) 定性和可擴(kuò)充性方面受到影響。網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)主要表現(xiàn)為一是文件服務(wù) 器，它是網(wǎng)絡(luò)的中樞，其運(yùn)行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量；網(wǎng)絡(luò)應(yīng)用的需求沒有引起足夠的重視，設(shè)計和選型考慮欠周密，從而影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級換代；二是網(wǎng)卡用工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定，許多站點(diǎn)在防火墻配置上無意識地擴(kuò)大了訪問權(quán)限，忽視了這些權(quán)限可能會被其他人員 濫用，從而給他人以可乘之機(jī)。資源共享是計算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者進(jìn)行破壞提供了機(jī)會。由于網(wǎng)絡(luò)協(xié)議實現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種實現(xiàn)過程所帶來的缺陷和漏洞，不合理的網(wǎng)絡(luò)設(shè)計會成為網(wǎng)絡(luò)安全的威脅。

2.2 計算機(jī)信息安全

信息系統(tǒng)安全的內(nèi)容應(yīng)包括兩個方面：物理安全和邏輯安全。物理安全指系 統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安全包括確保信息的 完整性、保密性和可用性。在計算機(jī)網(wǎng)絡(luò)中，根據(jù)國際標(biāo)準(zhǔn)化組織 ISO 的定義，信息系統(tǒng)安全就是為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計 算機(jī)的硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)能 夠連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。

2.2.1 計算機(jī)信息安全問題的成因

第一，電磁信號的輻射。目前網(wǎng)絡(luò)通信中常用的傳輸電纜以及計算機(jī)、網(wǎng)絡(luò) 設(shè)備都會因為電磁屏蔽不完善而通過電磁輻射向外泄露。第二，工作環(huán)境的安全 漏洞。包括自身的體系結(jié)構(gòu)問題、對特定網(wǎng)絡(luò)協(xié)議實現(xiàn)的錯誤以及系統(tǒng)開發(fā)過程 中遺留的后門和陷門。第三，人為的惡意攻擊。以各種方式有選擇地破壞信息的 有效性和完整性，對計算機(jī)網(wǎng)絡(luò)造成嚴(yán)重的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏，這是 計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅。第四，安全產(chǎn)品自身的問題。自身實現(xiàn)過程中的 安全漏洞或錯誤都將導(dǎo)致用戶內(nèi)部網(wǎng)絡(luò)安全防范機(jī)制的失效。第五，網(wǎng)絡(luò)軟件的 缺陷和漏洞。

2.2.2 網(wǎng)絡(luò)安全缺陷產(chǎn)生的原因

第一，TCP/IP 的脆弱性。由于 TCP/IP 協(xié)議是公布于眾的，如果人們對 TCP/IP 很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡(luò)攻擊。第二，網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路 徑上的主機(jī)，他就可以劫持用戶的數(shù)據(jù)包。第三，易被竊聽。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費(fèi)提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M(jìn)行竊聽。第四，缺乏安全意識。人們普遍缺乏安全意識，使網(wǎng)絡(luò)中設(shè)置的安全保護(hù)屏 障形同虛設(shè)。如人們?yōu)榱吮荛_防火墻代理服務(wù)器的額外認(rèn)證，進(jìn)行直接的 PPP 連接從而避開了防火墻的保護(hù)。

3網(wǎng)絡(luò)安全的問題

3.1計算機(jī)網(wǎng)絡(luò)安全的威脅

網(wǎng)絡(luò)缺陷：正是由于 Internet 在全球范圍內(nèi)的普及，使其保護(hù)信息安全存在 先天不足，缺乏相應(yīng)的安全監(jiān)督機(jī)制。黑客攻擊：現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強(qiáng)，這是網(wǎng)絡(luò)安全的主要威脅之一。各種病毒：病毒時時刻刻威脅著整個互聯(lián)網(wǎng)，促使人們不得不在網(wǎng)絡(luò)的各個 環(huán)節(jié)考慮對于各種病毒的檢測防治。管理的欠缺及資源濫用：很多上互聯(lián)網(wǎng)的企業(yè)在管理上存在漏洞，對于網(wǎng)絡(luò)上黑客的攻擊缺乏基本的應(yīng)對措施，同時企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象，降低了員工的工作效率，這是造成網(wǎng)絡(luò)安全問題的根本原因。信息泄露：惡意、過失的不合理信息上傳和發(fā)布，可能會造成敏感信息泄漏、有害信息擴(kuò)散，危及社會、國家、集體和個人利益。

3.2 計算機(jī)網(wǎng)絡(luò)安全問題

計算機(jī)網(wǎng)絡(luò)受攻擊主要有六種形式：①內(nèi)部竊密和破壞。②截收信息。③非法訪問。④利用 TCP/IP 協(xié)議上的某些不安全因素進(jìn)行APR欺騙和IP欺騙攻擊。⑤病毒破壞。⑥其 它網(wǎng)絡(luò)攻擊方式。目前網(wǎng)絡(luò)環(huán)境中廣泛采用的TCP/IP協(xié)議，因為其開放性，故其本身就意味著一種安全風(fēng)險。由于大量重要的應(yīng)用程序都以TCP作為 它們的傳輸層協(xié)議，因此TCP的安全性問題會給網(wǎng)絡(luò)帶來嚴(yán)重的后果。網(wǎng)絡(luò)結(jié)構(gòu)的安全問題。互聯(lián)網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有進(jìn)行加密，因此黑客利 用工具很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M(jìn)行破解，這就是互聯(lián)網(wǎng)所 固有的安全隱患。系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方。防火墻很難考慮到這類安全 問題，因為對于防火墻來說，該入侵行為的訪問過程和正常的Web訪問是相似的，唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。4 計算機(jī)網(wǎng)絡(luò)安全防范

4.1 安全技術(shù)手段 物理措施：例如，保護(hù)網(wǎng)絡(luò)關(guān)鍵設(shè)備(如交換機(jī)、大型計算機(jī)等)，制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)章制度，采取防輻射、防火以及安裝不間斷電源（UPS）等措施。訪問控制：對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。例如，進(jìn)行用戶身份認(rèn)證，對口令加密、更新和鑒別，設(shè)置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限，等等。

數(shù)據(jù)加密：加密是保護(hù)數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計算機(jī)網(wǎng)絡(luò)病毒，安裝網(wǎng)絡(luò)防病毒系統(tǒng)。

其他措施：其他措施包括信息過濾、容錯、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計等。近年來，圍繞網(wǎng)絡(luò)安全問題提出了許多解決辦法，例如數(shù)據(jù)加密技術(shù)和防火墻技術(shù)等。數(shù)據(jù)加密是對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密，到達(dá)目的地后再解密還原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用信息。防火墻技術(shù)是通過對網(wǎng)絡(luò)的隔離和限制訪問等方法來控制網(wǎng)絡(luò)的訪問權(quán)限，從而保護(hù)網(wǎng)絡(luò)資源。其他安全技術(shù)包括密鑰管理、數(shù)字簽名、認(rèn)證技術(shù)、智能卡技術(shù)和訪問控制等等。

4.2 防火墻技術(shù)

防火墻通過在網(wǎng)絡(luò)邊界上建立網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，能夠 有效隔離內(nèi)部和外部網(wǎng)絡(luò)，確定允許哪些內(nèi)部服務(wù)訪問外部服務(wù)，以及允許哪些 外部服務(wù)訪問內(nèi)部服務(wù)，以阻擋來自外部網(wǎng)絡(luò)的入侵和攻擊。現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次，不僅要完成傳統(tǒng) 防火墻的過濾任務(wù)，同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。

4.3 計算機(jī)網(wǎng)絡(luò)安全的相關(guān)技術(shù)

數(shù)據(jù)加密技術(shù)，加密技術(shù)是信息安全技術(shù)的核心，是一種主動的信息安全 防范措施，信息加密技術(shù)是其他安全技術(shù)的基礎(chǔ)，加密技術(shù)是指通過使用代碼或 密碼將某些重要信息和數(shù)據(jù)從一個可以理解的明文形式變換成一種復(fù)雜錯亂的 不可理解的密文形式，對電子信息在傳輸過程中或存儲體內(nèi)進(jìn)行保護(hù)，以阻止信息泄露或盜取，從而確保信息的安全性。

入侵檢測技術(shù)，入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)是從多種計算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS 被認(rèn)為是 防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前檢測到入侵 攻擊，并利用報警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻 擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加入策略集中，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵。

防病毒技術(shù)，隨著計算機(jī)技術(shù)的不斷發(fā)展，計算機(jī)病毒變得越來越復(fù)雜和高級，對計算機(jī) 信息系統(tǒng)構(gòu)成的威脅也越來越大。在病毒防范中普遍使用的防病毒軟件，從功能 上可以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類。單機(jī)防病毒軟件一般安裝 在單臺 PC 機(jī)上，即對本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢 測、清除病毒。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者 從網(wǎng)絡(luò)向其它資源傳染，網(wǎng)絡(luò)防病毒軟件會立刻檢測到并加以刪除。

網(wǎng)絡(luò)安全掃描技術(shù)，網(wǎng)絡(luò)安全掃描技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域的重要技術(shù)之一。利用安全掃描技術(shù)，可以對局域網(wǎng)絡(luò)、Web 站點(diǎn)、主機(jī)操作系統(tǒng)、系統(tǒng)服務(wù)以及防火墻系統(tǒng)的安全漏洞進(jìn)行服務(wù)，檢測在操作系統(tǒng)上存在的可能導(dǎo)致遭受緩沖區(qū)溢出攻擊或者拒絕服務(wù) 攻擊的安全漏洞，還可以檢測主機(jī)系統(tǒng)中是否被安裝了竊聽程序、防火墻系統(tǒng)是 否存在安全漏洞和配置錯誤。安全建議

采用防火墻與防病毒技術(shù)以提高網(wǎng)絡(luò)安全性，通過防火墻在網(wǎng)絡(luò)邊界上建立起來的通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，可以實現(xiàn)局域網(wǎng)與廣域網(wǎng)、內(nèi)網(wǎng)與外網(wǎng)有效地分隔，以阻擋外部網(wǎng)絡(luò)的侵入，從而實施安全訪問控制，提高檢察信息網(wǎng)的安全性。安裝網(wǎng)絡(luò)版防病毒軟件，加強(qiáng) 病毒檢測，及時發(fā)現(xiàn)病毒并予以清殺，可有效阻止其在網(wǎng)絡(luò)上蔓延和破壞。

運(yùn)用網(wǎng)絡(luò)加密技術(shù)，網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種： ①鏈接加密。②節(jié)點(diǎn)加密。③首尾加密。網(wǎng)絡(luò)加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一，既可以對付惡意軟件攻擊，又可以防止非授權(quán)用戶的訪問。

加強(qiáng)計算機(jī)網(wǎng)絡(luò)訪問控制，訪問控制是網(wǎng)絡(luò)安全防范的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問，也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。訪問控制技術(shù)主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級安全控制、屬性安全 控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。

加強(qiáng)設(shè)備的安全監(jiān)管，對入網(wǎng)的硬件設(shè)備和軟件，統(tǒng)一由網(wǎng)絡(luò)安全技術(shù)部門嚴(yán)格把關(guān)，對涉及網(wǎng)絡(luò)安全的核心設(shè)備可列入政府專項，由專業(yè)人員把關(guān)統(tǒng)一購買安裝。建立健全管理 制度，防止非法用戶進(jìn)入計算機(jī)控制室和各種非法行為的發(fā)生，并定期的對運(yùn)行環(huán)境條件進(jìn)行檢查、測試和維護(hù)。對于傳輸線路，要定期檢查連接情況，以檢測 是否有搭線竊聽、非法外連或破壞行為。

加強(qiáng)網(wǎng)絡(luò)安全教育，加強(qiáng)網(wǎng)絡(luò)安全教育對工作人員結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個方面安全問題，進(jìn)行安全教育，提高工作人員的安全觀念和責(zé)任心；加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn)，提高操 作技能； 教育工作人員嚴(yán)格遵守操作規(guī)程和各項保密規(guī)定，防止人為事故的發(fā)生。

設(shè)置網(wǎng)絡(luò)權(quán)限，將檢察機(jī)關(guān)內(nèi)部計算機(jī)維護(hù)權(quán)限與操作權(quán)限、數(shù)據(jù)權(quán)限分開，根據(jù)檢察機(jī)關(guān) 業(yè)務(wù)的不同，程序?qū)⒆詣臃峙淦涫褂脵?quán)限。設(shè)置訪問權(quán)限可以讓用戶有效地完成工作，同時又能控制用戶對服務(wù)器資源的訪問，從而加強(qiáng)網(wǎng)絡(luò)和服務(wù)器的安全性。

參考文獻(xiàn)

[1]陳愛民．計算機(jī)的安全與保密［Ｍ］．北京：電子工業(yè)出版社，2002

[2]黎連業(yè),張維.防火墻及其應(yīng)用技術(shù)[M].北京:清華大學(xué),2004.[3]楊義先.網(wǎng)絡(luò)安全理論與技術(shù)[M].北京:人民郵電出版社,2003.[4]王達(dá).網(wǎng)管員必讀——網(wǎng)絡(luò)安全[M].北京:電子工業(yè)出版社,2007.[5]石淑華,池瑞楠,計算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,2012.[6] 于峰.計算機(jī)網(wǎng)絡(luò)與數(shù)據(jù)通信.北京.中國水利水電出版社，2003

[7]謝希仁.計算機(jī)網(wǎng)絡(luò)（第 5 版）[M].北京:電子工業(yè)出版社,2008.[8] 張水平.計算機(jī)網(wǎng)絡(luò)及應(yīng)用.西安.西安交通大學(xué)出版社，2002

[9] 陳浩．Internet上的網(wǎng)絡(luò)攻擊與防范[J] ．電信技術(shù)．1998.[10] 雷震甲.網(wǎng)絡(luò)工程師教程.[M].北京：清華大學(xué)出版社，2004

[11]王其良,高敬瑜.計算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京大學(xué)出版社,2006.11.[12] 宋乃平、文樺．Internet網(wǎng)絡(luò)安全管理[J] ．天中學(xué)刊．2002.

第五篇：軍隊計算機(jī)網(wǎng)絡(luò)信息安全問題及對策

軍隊計算機(jī)網(wǎng)絡(luò)信息安全問題及對策

摘 要 :隨著我軍信息化建設(shè)步伐的不斷加快，計算機(jī)網(wǎng)絡(luò)技術(shù)在部隊的應(yīng)用口趨廣泛。但從整體情況看，我軍的網(wǎng)絡(luò)信息安全還存在很多問題，網(wǎng)絡(luò)安全工作明滯后于網(wǎng)絡(luò)建設(shè)。針對現(xiàn)階段軍隊網(wǎng)絡(luò)安全存在的問題，從網(wǎng)絡(luò)安全技術(shù)及網(wǎng)絡(luò)安全管理兩方面提出了相應(yīng)的解決對策。

關(guān)鍵詞 :軍隊信息化建設(shè);計算機(jī)網(wǎng)絡(luò);信息安全

隨著個球信息化建設(shè)的高速發(fā)展，網(wǎng)絡(luò)中接入信息基礎(chǔ)設(shè)施的數(shù)量不斷增加，信息系統(tǒng)軟件建設(shè)水平日益提高和完善，計算機(jī)網(wǎng)絡(luò)信息的安個問題變得日益突出和重要根據(jù)US-CERT(United States ComputerEmergency Readiness Teat組織的統(tǒng)計，從1998午到2002午期IRl，該組織登記網(wǎng)絡(luò)安個事故的數(shù)量午增長率超過50%。根據(jù)由國家信息安個報告”課題組編《國家信息安個報告》書，如果將信息安個分為9個等級，我國的安個等級為5.5，安個形勢分嚴(yán)峻我軍網(wǎng)絡(luò)信息安個形勢也同樣小容樂觀,兵的信息安個意識淡薄、信息安個技術(shù)落后、信息安個管理制度小完善、計算機(jī)網(wǎng)絡(luò)安個防護(hù)能力較弱。這此存在于軍隊計算機(jī)網(wǎng)絡(luò)中的安個隱患問題如果小能很好解決，小但會引起軍隊人量泄密事件和網(wǎng)絡(luò)被攻擊事件的發(fā)生，更會嚴(yán)重影響到作為高科技作戰(zhàn)輔助手段的計算機(jī)網(wǎng)絡(luò)技術(shù)在軍隊信息化建設(shè)中的推廣和應(yīng)用，甚至?xí)蔀槲臆娢磥硇畔⒒瘧?zhàn)爭中的死穴”，直接影響戰(zhàn)爭的結(jié)果。此分析現(xiàn)階段我軍的網(wǎng)絡(luò)安個存在的問題，并找出相應(yīng)的對策，對當(dāng)前我軍計算機(jī)網(wǎng)絡(luò)安個的建設(shè)和發(fā)展及把握未來戰(zhàn)爭形態(tài)具有分重要的意義。1現(xiàn)階段軍隊計算機(jī)網(wǎng)絡(luò)信息安全存在的問題 1.1計算機(jī)網(wǎng)絡(luò)安個技術(shù)問題

(1)缺乏自主的計算機(jī)網(wǎng)絡(luò)軟、硬件核心技術(shù)。我國信息化建設(shè)缺乏自主的核心技術(shù)支撐，計算機(jī)網(wǎng)絡(luò)的主要軟、硬件，如CPU芯片、操作系統(tǒng)和數(shù)據(jù)庫、網(wǎng)關(guān)軟件人多依賴進(jìn)口。信息設(shè)備的核心部分CPU山美國和我國臺灣制造;我軍計算機(jī)網(wǎng)絡(luò)中普遍使用的操作系統(tǒng)來自國外，這此系統(tǒng)都存在人量的安個漏洞，極易留下嵌入式病毒、隱性通道和可恢復(fù)密鑰的密碼等隱患;計算機(jī)網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕人多數(shù)是舶來品，在網(wǎng)絡(luò)上運(yùn)行時，存在著很人的安個隱患。這素使軍隊計算機(jī)網(wǎng)絡(luò)的安個性能人人降低，網(wǎng)絡(luò)處于被竊聽、十?dāng)_、監(jiān)視和欺詐等多種安個威脅中，網(wǎng)絡(luò)安個處于極脆弱的狀態(tài)。

(2)長期存在被病毒感染的風(fēng)險。現(xiàn)代病毒可以借助文件、由日件、網(wǎng)貞等諸多力式在網(wǎng)絡(luò)中進(jìn)行傳播和蔓延，它們具有自啟動功能，‘常‘常潛入系統(tǒng)核心與內(nèi)存，為所欲為。軍用計算機(jī)日_受感染，它們就會利用被控制的計算機(jī)為平臺，破壞數(shù)據(jù)信息，毀損硬件設(shè)備，阻塞整個網(wǎng)絡(luò)的正常信息傳輸，甚至造成整個軍隊計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)傳輸中斷和系統(tǒng)癱瘓。

(3)軍事涉密信息在網(wǎng)絡(luò)中傳輸?shù)陌矀€可靠性低。隱私及軍事涉密信息存儲在網(wǎng)絡(luò)系統(tǒng)內(nèi)，很容易被搜集而造成泄密。這此涉密資料在傳輸過程中，山于要經(jīng)過許多外節(jié)點(diǎn)，且難以查證，在任何中介節(jié)點(diǎn)均可能被讀取或惡意修改，包括數(shù)據(jù)修改、重發(fā)和假冒。網(wǎng)絡(luò)中可能存在某節(jié)點(diǎn)在非授權(quán)和小能監(jiān)測力式下的數(shù)據(jù)修改，這此修改進(jìn)入網(wǎng)中的幀并傳送修改版本，即使采用某此級別的認(rèn)證機(jī)制，此種攻擊也能危及可信節(jié)點(diǎn)間的通信。重發(fā)就是重復(fù)份或部分報文，以便產(chǎn)生個被授權(quán)效果。當(dāng)節(jié)點(diǎn)拷貝發(fā)到其他節(jié)點(diǎn)的報文并又重發(fā)他們時，若小能監(jiān)測重發(fā)，日的節(jié)點(diǎn)會執(zhí)行報文內(nèi)容命令的操作，例如報文的內(nèi)容是關(guān)閉網(wǎng)絡(luò)的命令，則將會出現(xiàn)嚴(yán)重的后果。假冒是網(wǎng)絡(luò)中個實體假扮成另個實體收發(fā)信息，很多網(wǎng)絡(luò)適配器都允許網(wǎng)幀的源地址山節(jié)點(diǎn)自己來選取或改變，這就使冒充變得較為容易。

(4)存在來自網(wǎng)絡(luò)外部、內(nèi)部攻擊的潛在威脅。網(wǎng)絡(luò)中臺無防備的電腦很容易受到局域網(wǎng)外部的入侵，修改硬盤數(shù)據(jù)，種下木馬等。入侵者會有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性，或偽裝為合法用戶進(jìn)入網(wǎng)絡(luò)并占用人量資源，修改網(wǎng)絡(luò)數(shù)據(jù)、竊取、破譯機(jī)密信息、破壞軟件執(zhí)行，在中間站點(diǎn)攔截和讀取絕密信息等。在網(wǎng)絡(luò)內(nèi)部，則會有此非法用戶冒用合法用戶的口令以合法身份登錄網(wǎng)站后，查看機(jī)密信息，修改信息內(nèi)容及破壞應(yīng)用系統(tǒng)的運(yùn)行。有非法用戶還會修改自己的IP和人IAC地址，使其和合法用戶IP和MAC地址樣，繞過網(wǎng)絡(luò)管理員的安個設(shè)置。1.2信息安個管理問題

在軍隊網(wǎng)絡(luò)建設(shè)中，高投入地進(jìn)行網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，而相應(yīng)的管理措施卻沒有跟上，在網(wǎng)絡(luò)安個上的投資也是微乎其微。有此領(lǐng)導(dǎo)錯誤地認(rèn)為，網(wǎng)絡(luò)安個投資只有投入?yún)s小見直觀效果，對軍隊教育訓(xùn)練影響小大。因此，對安個領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)小能滿足安個防范的要求。而旦安個上出了問題，又沒有行之有效的措施補(bǔ)救，有的甚至是采取關(guān)閉網(wǎng)絡(luò)、禁比使用的消極手段，根本問題依然得小到實質(zhì)性的解決。

國家和軍隊出臺了系列信息網(wǎng)絡(luò)安個保密的法規(guī)，女匡中華人民共和國計算機(jī)信息系統(tǒng)安個保護(hù)條例計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)保密管理規(guī)定)X(中國人民解放軍計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》等，這此法規(guī)的出臺從定程度上規(guī)范了軍事信息網(wǎng)絡(luò)安個的管理，但還小能滿足軍事信息網(wǎng)絡(luò)安個管理的發(fā)展需求。網(wǎng)絡(luò)運(yùn)行管理機(jī)制存在缺陷，軍隊網(wǎng)絡(luò)安個管理人才匾乏，安個措施小到位，出現(xiàn)安個問題后缺乏綜合性的解決力案，整個信息安個系統(tǒng)在迅速反應(yīng)、快速行動和預(yù)防范等主要力而，缺少力向感、敏感度和應(yīng)對能力。在整個網(wǎng)絡(luò)運(yùn)行過程中，缺乏行之有效的安個檢查和應(yīng)對保護(hù)制度。

網(wǎng)絡(luò)管理和使用人員素質(zhì)小高、安個意識淡薄。據(jù)調(diào)查，目前國內(nèi)90%的網(wǎng)站存在安個問題，其主要原因是管理者缺少或沒有安個意識。軍事計算機(jī)網(wǎng)絡(luò)用戶飛速增長，然而大多數(shù)人員網(wǎng)絡(luò)知識掌握很少，安個意識小強(qiáng)，經(jīng)常是在沒有任何防范措施的前提下，隨便把電腦接入網(wǎng)絡(luò);在小知情的情況下將帶有保密信息的計算機(jī)連入因特網(wǎng)，或使用因特網(wǎng)傳遞保密信息;對數(shù)據(jù)小能進(jìn)行及時備份，經(jīng)常造成數(shù)據(jù)的破壞或丟失;對系統(tǒng)小采取有效的防病毒、防攻擊措施，殺毒軟件小能及時升級。2加強(qiáng)軍隊計算機(jī)網(wǎng)絡(luò)安全的對策

解決軍隊計算機(jī)網(wǎng)絡(luò)中的安個問題，關(guān)鍵在于建立和完善軍隊計算機(jī)網(wǎng)絡(luò)信息安個防護(hù)體系。總體對策是在技術(shù)層而上建立完整的網(wǎng)絡(luò)安個解決力案，在管理層而上制定和落實套嚴(yán)格的網(wǎng)絡(luò)安個管理制度。

2.1網(wǎng)絡(luò)安個技術(shù)對策

(1)采用安個性較高的系統(tǒng)和使用數(shù)據(jù)加密技術(shù)。美國國防部技術(shù)標(biāo)準(zhǔn)把操作系統(tǒng)安個等級分為Dl, Cl, C2, B1, B2, B3, A級，安個等級由低到高。目前主要的操作系統(tǒng)等級為C2級，在使用C2級系統(tǒng)時，應(yīng)盡量使用C2級的安個措施及功能，對操作系統(tǒng)進(jìn)行安個配置。在極端重要的系統(tǒng)中，應(yīng)采用B級操作系統(tǒng)。對軍事涉密信息在網(wǎng)絡(luò)中的存儲和傳輸可以使用傳統(tǒng)的信息加密技術(shù)和新興的信息隱藏技術(shù)來提供安個保證。在傳發(fā)保存軍事涉密信息的過程中，小但要用加密技術(shù)隱藏信息內(nèi)容，還要用信息隱藏技術(shù)來隱藏信息的發(fā)送者、接收者甚至信息本身。通過隱藏術(shù)、數(shù)字水印、數(shù)據(jù)隱藏和數(shù)據(jù)嵌入、指紋和標(biāo)竿等技術(shù)手段可以將秘密資料先隱藏到般的文件中，然后再通過網(wǎng)絡(luò)來傳遞，提高信息保密的可靠性。

(2)安裝防病毒軟件和防火墻。在主機(jī)上安裝防病毒軟件，能對病毒進(jìn)行定時或?qū)崟r的病毒掃描及漏洞檢測，變被動清毒為主動截殺，既能查殺未知病毒，又可對文件、郵件、內(nèi)存、網(wǎng)頁進(jìn)行個而實時監(jiān)控，發(fā)現(xiàn)異常情況及時處理。防火墻是硬件和軟件的組合，它在內(nèi)部網(wǎng)和外部網(wǎng)間建立起個安個網(wǎng)關(guān)，過濾數(shù)據(jù)包，決定是否轉(zhuǎn)發(fā)到目的地。它能夠控制網(wǎng)絡(luò)進(jìn)出的信息流向，提供網(wǎng)絡(luò)使用狀況和流量的審計、隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)l勻。它還可以幫助軍隊系統(tǒng)進(jìn)行有效的網(wǎng)絡(luò)安個隔離，通過安個過濾規(guī)則嚴(yán)格控制外網(wǎng)用戶非法訪問，并只打開必須的服務(wù)，防范外部來的拓絕服務(wù)攻擊。同時，防火墻可以進(jìn)行時間安個規(guī)則變化策略，控制內(nèi)網(wǎng)用戶訪問外網(wǎng)時間，并通過設(shè)置IP地址與MAC地址綁定，防比目的IP地址欺騙。更重要的是，防火墻小但將大量的惡意攻擊直接阻擋在外而，同時也屏蔽來自網(wǎng)絡(luò)內(nèi)部的小良行為，讓其小能把某此保密的信息散播到外部的公共網(wǎng)絡(luò)上去。

(3)使用安個路由器和虛擬專用網(wǎng)技術(shù)。安個路由器采用了密碼算法和加/解密專用芯片，通過在路由器主板上增加安個加密模件來實現(xiàn)路由器信息和IP包的加密、身份鑒別和數(shù)據(jù)完整性驗證、分布式密鑰管理等功能。使用安個路由器可以實現(xiàn)軍隊各單位內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的互聯(lián)、隔離、流量控制、網(wǎng)絡(luò)和信息安個維護(hù)，也可以阻塞廣播信息和小知名地址的傳輸，達(dá)到保護(hù)內(nèi)部信息化與網(wǎng)絡(luò)建設(shè)安個的目的。目前我國自主獨(dú)立開發(fā)的安個路由器，能為軍隊計算機(jī)網(wǎng)絡(luò)提供安個可靠的保障。建設(shè)軍隊虛擬專用網(wǎng)是在軍隊廣域網(wǎng)中將若十個區(qū)域網(wǎng)絡(luò)實體利用隧道技術(shù)連接成個虛擬的獨(dú)立網(wǎng)絡(luò)，網(wǎng)絡(luò)中的數(shù)據(jù)利用加/解密算法進(jìn)行加密封裝后，通過虛擬的公網(wǎng)隧道在各網(wǎng)絡(luò)實體間傳輸，從而防}卜未授權(quán)用戶竊取、篡改信息。

(4)安裝入侵檢測系統(tǒng)和網(wǎng)絡(luò)誘騙系統(tǒng)。入侵檢測能力是衡量個防御體系是否完整有效的重要因素。入侵檢測的軟件和硬件共同組成了入侵檢測系統(tǒng)。強(qiáng)大的、完整的入侵檢測系統(tǒng)可以彌補(bǔ)軍隊網(wǎng)絡(luò)防火墻相對靜態(tài)防御的小足，可以對內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實時防護(hù)，當(dāng)軍隊計算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到危害之前進(jìn)行報攔截和響應(yīng)，為系統(tǒng)及時消除威脅。網(wǎng)絡(luò)誘騙系統(tǒng)是通過構(gòu)建個欺騙環(huán)境真實的網(wǎng)絡(luò)、主機(jī)，或用軟件模擬的網(wǎng)絡(luò)和主機(jī))，誘騙入侵者對其進(jìn)行攻擊或在檢測出對實際系統(tǒng)的攻擊行為后，將攻擊重定向到該嚴(yán)格控制的環(huán)境中，從而保護(hù)實際運(yùn)行的系統(tǒng);同時收集入侵信息，借以觀察入侵者的行為，記錄其活動，以便分析入侵者的水平、目的、所用上具、入侵手段等，并對入侵者的破壞行為提供證據(jù)。

2.2網(wǎng)絡(luò)安個管理對策

(1)強(qiáng)化思想教育、加強(qiáng)制度落實是網(wǎng)絡(luò)安個管理上作的基礎(chǔ)。搞好軍隊網(wǎng)絡(luò)安個管理上作，首要的是做好人的上作。個軍官兵要認(rèn)真學(xué)習(xí)軍委、總部先后下發(fā)的有關(guān)法規(guī)文件和安個教材，更新軍事通信安個保密觀念，增強(qiáng)網(wǎng)絡(luò)安個保密意識，增長網(wǎng)絡(luò)安個保密知識，提高網(wǎng)絡(luò)保密素質(zhì)，改善網(wǎng)絡(luò)安個保密環(huán)境。還可以通過舉辦信息安個技術(shù)培訓(xùn)、組織專家到基層部隊宣講網(wǎng)絡(luò)信息安個保密知識、舉辦網(wǎng)上信息戰(zhàn)知識竟賽”等系列活動，使廣大官兵牢固樹立信息安個領(lǐng)域沒有和平期”的觀念，在4個人的大腦中筑起軍隊網(wǎng)絡(luò)信息安個的防火墻”

(2)制定嚴(yán)格的信息安個管理制度。設(shè)立專門的信息安個管理機(jī)構(gòu)，人員應(yīng)包括領(lǐng)導(dǎo)和專業(yè)人員。按照小同任務(wù)進(jìn)行分上以確立各自的職責(zé)。類人員負(fù)責(zé)確定安個措施，包括力針、政策、策略的制定，并協(xié)調(diào)、監(jiān)督、檢查安個措施的實施;另類人員負(fù)責(zé)分上具體管理系統(tǒng)的安個上作，包括信息安個管理員、信息保密員和系統(tǒng)管理員等。在分上的基礎(chǔ)上，應(yīng)有具體的負(fù)責(zé)人負(fù)責(zé)整個網(wǎng)絡(luò)系統(tǒng)的安個。確立安個管理的原則: 是多人負(fù)責(zé)原則，即在從事4項安個相關(guān)的活動時，必須有兩人以上在場;一是任期有限原則，即任何人小得長期擔(dān)任與安個相關(guān)的職務(wù)，應(yīng)小定期地循環(huán)任職;三是職責(zé)分離原則，如計算機(jī)的編程與操作、機(jī)密資料的傳送和接收、操作與存儲介質(zhì)保密、系統(tǒng)管理與安個管理等上作職責(zé)應(yīng)當(dāng)由小同人員負(fù)責(zé)。另外，各單位還可以根據(jù)自身的特點(diǎn)制定系列的規(guī)章制度。如要求用戶必須定期升級殺毒軟件、定期備份重要資料，規(guī)定軍用計算機(jī)小得隨意安裝來路小明的軟件、小得打開陌生郵件，對違反規(guī)定的進(jìn)行處理等等。

(3)重視網(wǎng)絡(luò)信息安個人才的培養(yǎng)。加強(qiáng)計算機(jī)網(wǎng)絡(luò)指揮人員的培訓(xùn)，使網(wǎng)絡(luò)指揮人員熟練通過計算機(jī)網(wǎng)絡(luò)實施正確的指揮和對信息進(jìn)行有效的安個管理，保證部隊的網(wǎng)絡(luò)信息安個。加強(qiáng)操作人員和管理人員的安個培訓(xùn)，主要是在平時訓(xùn)練過程中提高能力，通過小間斷的培訓(xùn)，提高保密觀念和責(zé)任心，加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn)，提高操作技能;對內(nèi)部涉密人員更要加強(qiáng)人事管理，定期組織思想教育和安個業(yè)務(wù)培訓(xùn)，小斷提高人員的思想素質(zhì)、技術(shù)素質(zhì)和職業(yè)道德。積極鼓勵廣大官兵研究軍隊計算機(jī)網(wǎng)絡(luò)攻防戰(zhàn)的特點(diǎn)規(guī)律，尋找進(jìn)入和破壞敵力網(wǎng)絡(luò)系統(tǒng)的力法，探索竭力阻比敵力網(wǎng)絡(luò)入侵，保護(hù)己力網(wǎng)絡(luò)系統(tǒng)安個的手段。只有擁有支訓(xùn)練有素、善于信息安個管理的隊伍，才能保證軍隊在未來的信息化戰(zhàn)爭中占據(jù)主動權(quán)