對計算機信息構成不安全的因素很多， 其中包括人為的因素、自然的因素和偶發(fā)的因素。其中，人為因素是指，一些不法之徒利用計算機網絡存在的漏洞，或者潛入計算機房，盜用計算機系統(tǒng)資源，非法獲取重要數(shù)據(jù)、篡改系統(tǒng)數(shù)據(jù)、破壞硬件設備、編制計算機病毒。人為因素是對計算機信息網絡安全威脅最大的因素，垃圾郵件和間諜軟件也都在侵犯著我們的計算機網絡。計算機網絡不安全因素主要表現(xiàn)在以下幾個方面：1、 計算機網絡的脆弱性互聯(lián)網是對全世界都開放的網絡，任何單位或個人都可以在網上方便地傳輸和獲取各種信息，互聯(lián)網這種具有開放性、共享性、國際性的特點就對計算機網絡安全提出了挑戰(zhàn)?；ヂ?lián)網的不安全性主要有以下幾項：(1)網絡的開放性，網絡的技術是全開放的，使得網絡所面臨的攻擊來自多方面?；蚴莵碜晕锢韨鬏斁€路的攻擊，或是來自對網絡協(xié)議的攻擊，以及對計算機軟件、硬件的漏洞實施攻擊。(2)網絡的國際性，意味著對網絡的攻擊不僅是來自于本地網絡的用戶，還可以是互聯(lián)網上其他國家的黑客，所以，網絡的安全面臨著國際化的挑戰(zhàn)。(3)網絡的自由性，大多數(shù)的網絡對用戶的使用沒有技術上的約束，用戶可以自由地上網，發(fā)布和獲取各類信息。2、操作系統(tǒng)存在的安全問題操作系統(tǒng)是作為一個支撐軟件，使得你的程序或別的運用系統(tǒng)在上面正常運行的一個環(huán)境。操作系統(tǒng)提供了很多的管理功能，主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性，系統(tǒng)開發(fā)設計的不周而留下的破綻，都給網絡安全留下隱患。(1)操作系統(tǒng)結構體系的缺陷。操作系統(tǒng)本身有內存管理、CPU 管理、外設的管理，每個管理都涉及到一些模塊或程序，如果在這些程序里面存在問題，比如內存管理的問題，外部網絡的一個連接過來，剛好連接一個有缺陷的模塊，可能出現(xiàn)的情況是，計算機系統(tǒng)會因此崩潰。所以，有些黑客往往是針對操作系統(tǒng)的不完善進行攻擊，使計算機系統(tǒng)，特別是服務器系統(tǒng)立刻癱瘓。(2)操作系統(tǒng)支持在網絡上傳送文件、加載或安裝程序，包括可執(zhí)行文件，這些功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能，比如FTP，這些安裝程序經常會帶一些可執(zhí)行文件，這些可執(zhí)行文件都是人為編寫的程序，如果某個地方出現(xiàn)漏洞，那么系統(tǒng)可能就會造成崩潰。像這些遠程調用、文件傳輸，如果生產廠家或個人在上面安裝間諜程序，那么用戶的整個傳輸過程、使用過程都會被別人監(jiān)視到，所有的這些傳輸文件、加載的程序、安裝的程序、執(zhí)行文件，都可能給操作系統(tǒng)帶來安全的隱患。所以，建議盡量少使用一些來歷不明，或者無法證明它的安全性的軟件。(3)操作系統(tǒng)不安全的一個原因在于它可以創(chuàng)建進程，支持進程的遠程創(chuàng)建和激活，支持被創(chuàng)建的進程繼承創(chuàng)建的權利，這些機制提供了在遠端服務器上安裝“間諜”軟件的條件。若將間諜軟件以打補丁的方式“打”在一個合法用戶上，特別是“打”在一個特權用戶上，黑客或間諜軟件就可以使系統(tǒng)進程與作業(yè)的監(jiān)視程序監(jiān)測不到它的存在。(4)操作系統(tǒng)有些守護進程，它是系統(tǒng)的一些進程，總是在等待某些事件的出現(xiàn)。所謂守護進程，比如說用戶有沒按鍵盤或鼠標，或者別的一些處理。一些監(jiān)控病毒的監(jiān)控軟件也是守護進程，這些進程可能是好的，比如防病毒程序，一有病毒出現(xiàn)就會被撲捉到。但是有些進程是一些病毒，一碰到特定的情況，比如碰到5月1日，它就會把用戶的硬盤格式化，這些進程就是很危險的守護進程，平時它可能不起作用，可是在某些條件發(fā)生，比如5月1日，它才發(fā)生作用，如果操作系統(tǒng)有些守護進程被人破壞掉就會出現(xiàn)這種不安全的情況。(5)操作系統(tǒng)會提供一些遠程調用功能，所謂遠程調用就是一臺計算機可以調用遠程一個大型服務器里面的一些程序，可以提交程序給遠程的服務器執(zhí)行，如telnet。遠程調用要經過很多的環(huán)節(jié)，中間的通訊環(huán)節(jié)可能會出現(xiàn)被人監(jiān)控等安全的問題。(6)操作系統(tǒng)的后門和漏洞。后門程序是指那些繞過安全控制而獲取對程序或系統(tǒng)訪問權的程序方法。在軟件開發(fā)階段，程序員利用軟件的后門程序得以便利修改程序設計中的不足。一旦后門被黑客利用，或在發(fā)布軟件前沒有刪除后門程序，容易被黑客當成漏洞進行攻擊，造成信息泄密和丟失。此外，操作系統(tǒng)的無口令的入口，也是信息安全的一大隱患。(7)盡管操作系統(tǒng)的漏洞可以通過版本的不斷升級來克服， 但是系統(tǒng)的某一個安全漏洞就會使得系統(tǒng)的所有安全控制毫無價值。當發(fā)現(xiàn)問題到升級這段時間，一個小小的漏洞就足以使你的整個網絡癱瘓掉。3、數(shù)據(jù)庫存儲的內容存在的安全問題數(shù)據(jù)庫管理系統(tǒng)大量的信息存儲在各種各樣的數(shù)據(jù)庫里面，包括我們上網看到的所有信息，數(shù)據(jù)庫主要考慮的是信息方便存儲、利用和管理，但在安全方面考慮的比較少。例如：授權用戶超出了訪問權限進行數(shù)據(jù)的更改活動；非法用戶繞過安全內核，竊取信息。對于數(shù)據(jù)庫的安全而言，就是要保證數(shù)據(jù)的安全可靠和正確有效，即確保數(shù)據(jù)的安全性、完整性。數(shù)據(jù)的安全性是防止數(shù)據(jù)庫被破壞和非法的存??；數(shù)據(jù)庫的完整性是防止數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)。4 、防火墻的脆弱性 防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與網之間的界面上構造的保護屏障.它是一種硬件和軟件的結合，使Internet 與Intranet 之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入。 但防火墻只能提供網絡的安全性，不能保證網絡的絕對安全，它也難以防范網絡內部的攻擊和病毒的侵犯。并不要指望防火墻靠自身就能夠給予計算機安全。防火墻保護你免受一類攻擊的威脅，但是卻不能防止從LAN 內部的攻擊，若是內部的人和外部的人聯(lián)合起來，即使防火墻再強，也是沒有優(yōu)勢的。它甚至不能保護你免受所有那些它能檢測到的攻擊。隨著技術的發(fā)展，還有一些破解的方法也使得防火墻造成一定隱患。這就是防火墻的局限性。 5、其他方面的因素 計算機系統(tǒng)硬件和通訊設施極易遭受到自然的影響，如：各種自然災害（如地震、泥石流、水災、風暴、物破壞等）對構成威脅。還有一些偶發(fā)性因素，如電源故障、設備的機能失常、軟件開發(fā)過程中留下的某些漏洞等，也對計算機網絡構成嚴重威脅。此外不好、規(guī)章制度不健全、安全管理水平較低、操作失誤、瀆職行為等都會對計算機信息安全造成威脅。計算機網絡安全的對策，可以從一下幾個方面進行防護：1、 技術層面對策對于技術方面，計算機網絡安全技術主要有實時掃描技術、實時監(jiān)測技術、防火墻、完整性保護技術、病毒情況分析報告技術和系統(tǒng)安全管理技術。綜合起來，技術層面可以采取以下對策：(1)建立安全管理制度。提高包括系統(tǒng)管理員和用戶在內的人員的技術素質和職業(yè)修養(yǎng)。對重要部門和信息，嚴格做好開機查毒，及時備份數(shù)據(jù)，這是一種簡單有效的方法。(2)網絡訪問控制。訪問控制是網絡安全防范和保護的主要策略。它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術比較廣，包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。(3)數(shù)據(jù)庫的備份與恢復。數(shù)據(jù)庫的備份與恢復是數(shù)據(jù)庫管理員維護數(shù)據(jù)安全性和完整性的重要操作。備份是恢復數(shù)據(jù)庫最容易和最能防止意外的保證方法。恢復是在意外發(fā)生后利用備份來恢復數(shù)據(jù)的操作。有三種主要備份策略：只備份數(shù)據(jù)庫、備份數(shù)據(jù)庫和事務日志、增量備份。(4)應用密碼技術。應用密碼技術是信息安全核心技術，密碼手段為信息安全提供了可靠保證。基于密碼的數(shù)字簽名和身份認證是當前保證信息完整性的最主要方法之一，密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數(shù)字簽名以及密鑰管理。(5)切斷途徑。對被感染的硬盤和計算機進行徹底殺毒處理，不使用來歷不明的U 盤和程序，不隨意下載網絡可疑信息。(6)提高網絡反病毒技術能力。通過安裝病毒防火墻，進行實時過濾。對網絡服務器中的文件進行頻繁掃描和監(jiān)測，在工作站上采用防病毒卡，加強網絡目錄和文件訪問權限的設置。在網絡中，限制只能由服務器才允許執(zhí)行的文件。(7)研發(fā)并完善高安全的操作系統(tǒng)。研發(fā)具有高安全的操作系統(tǒng)，不給病毒得以滋生的溫床才能更安全。2、管理層面對策計算機網絡的安全管理，不僅要看所采用的安全技術和防范措施，而且要看它所采取的管理措施和執(zhí)行計算機安全保護、法規(guī)的力度。只有將兩者緊密結合，才能使計算機網絡安全確實有效。計算機網絡的安全管理，包括對計算機用戶的安全、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網絡的立法和執(zhí)法力度等方面。加強計算機安全管理、加強用戶的法律、法規(guī)和道德觀念，提高計算機用戶的安全意識，對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾，是十分重要的措施。這就要對計算機用戶不斷進行法制教育，包括計算機安全法、計算機犯罪法、保密法、數(shù)據(jù)保護法等，明確計算機用戶和系統(tǒng)管理人員應履行的權利和義務，自覺遵守合法信息系統(tǒng)原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則，自覺地和一切違法犯罪的行為作斗爭，維護計算機及網絡系統(tǒng)的安全，維護信息系統(tǒng)的安全。除此之外，還應教育計算機用戶和全體工作人員，應自覺遵守為維護系統(tǒng)安全而建立的一切規(guī)章制度，包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛(wèi)管理制度、專機專用和嚴格分工等管理制度。3、安全層面對策要保證計算機網絡系統(tǒng)的安全、可靠，必須保證系統(tǒng)實體有個安全的物理環(huán)境條件。這個安全的環(huán)境是指機房及其設施，主要包括以下內容：(1)計算機系統(tǒng)的環(huán)境條件。計算機系統(tǒng)的安全環(huán)境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面，都要有具體的要求和嚴格的標準。(2)機房場地環(huán)境的選擇。計算機系統(tǒng)選擇一個合適的安裝場所十分重要。它直接影響到系統(tǒng)的安全性和可靠性。選擇計算機房場地，要注意其外部環(huán)境安全性、可靠性、場地抗電磁干擾性，避開強振動源和強噪聲源，并避免設在建筑物高層和用水設備的下層或隔壁。還要注意出入口的管理。(3)機房的安全防護。機房的安全防護是針對環(huán)境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網絡設施、重要數(shù)據(jù)而采取的安全措施和對策。為做到區(qū)域安全，首先，應考慮物理訪問控制來識別訪問用戶的身份，并對其合法性進行驗證；其次，對來訪者必須限定其活動范圍；第三，要在計算機系統(tǒng)中心設備外設多層安全防護圈，以防止非法暴力入侵；第四設備所在的建筑物應具有抵御各種自然災害的設施。

做畢業(yè)設計？看看這個，有時間還是多查查資料自己搞搞，畢業(yè)之后找工作也可以有保障嗎！網絡安全 計算機網絡安全論文 1 緒論 隨著互聯(lián)網的飛速發(fā)展，網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。 大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的?？梢钥闯霰ＷC網絡安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時間和金錢上是很充足、富有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。 網絡安全性可以被粗略地分為4個相互交織的部分：保密、鑒別、反拒認以及完整性控制。保密是保護信息不被未授權者訪問，這是人們提到的網絡安全性時最常想到的內容。鑒別主要指在揭示敏感信息或進行事務處理之前先確認對方的身份。反拒認主要與簽名有關。保密和完整性通過使用注冊過的郵件和文件鎖來 2 方案目標 本方案主要從網絡層次考慮，將網絡系統(tǒng)設計成一個支持各級別用戶或用戶群的安全網絡，該網在保證系統(tǒng)內部網絡安全的同時，還實現(xiàn)與Internet或國內其它網絡的安全互連。本方案在保證網絡安全可以滿足各種用戶的需求，比如：可以滿足個人的通話保密性，也可以滿足企業(yè)客戶的計算機系統(tǒng)的安全保障，數(shù)據(jù)庫不被非法訪問和破壞，系統(tǒng)不被病毒侵犯，同時也可以防止諸如反動淫穢等有害信息在網上傳播等。 需要明確的是，安全技術并不能杜絕所有的對網絡的侵擾和破壞，它的作用僅在于最大限度地防范，以及在受到侵擾的破壞后將損失盡旦降低。具體地說，網絡安全技術主要作用有以下幾點： 1．采用多層防衛(wèi)手段，將受到侵擾和破壞的概率降到最低； 2．提供迅速檢測非法使用和非法初始進入點的手段，核查跟蹤侵入者的活動； 3．提供恢復被破壞的數(shù)據(jù)和系統(tǒng)的手段，盡量降低損失； 4．提供查獲侵入者的手段。 網絡安全技術是實現(xiàn)安全管理的基礎，近年來，網絡安全技術得到了迅猛發(fā)展，已經產生了十分豐富的理論和實際內容。 3 安全需求 通過對網絡系統(tǒng)的風險分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網絡系統(tǒng)的機密性、完整性、可用性、可控性與可審查性。即， 可用性： 授權實體有權訪問數(shù)據(jù) 機密性： 信息不暴露給未授權實體或進程 完整性： 保證數(shù)據(jù)不被未授權修改 可控性： 控制授權范圍內的信息流向及操作方式 可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段 訪問控制：需要由防火墻將內部網絡與外部不可信任的網絡隔離，對與外部網絡交換數(shù)據(jù)的內部網絡及其主機、所交換的數(shù)據(jù)進行嚴格的訪問控制。同樣，對內部網絡，由于不同的應用業(yè)務以及不同的安全級別，也需要使用防火墻將不同的LAN或網段進行隔離，并實現(xiàn)相互的訪問控制。 數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲過程中防止非法竊取、篡改信息的有效手段。 安全審計： 是識別與防止網絡攻擊行為、追查網絡泄密行為的重要措施之一。具體包括兩方面的內容，一是采用網絡監(jiān)控與入侵防范系統(tǒng)，識別網絡各種違規(guī)操作與攻擊行為，即時響應（如報警）并進行阻斷；二是對信息內容的審計，可以防止內部機密或敏感信息的非法泄漏 4 風險分析 網絡安全是網絡正常運行的前提。網絡安全不單是單點的安全，而是整個信息網的安全，需要從物理、網絡、系統(tǒng)、應用和管理方面進行立體的防護。要知道如何防護，首先需要了解安全風險來自于何處。網絡安全系統(tǒng)必須包括技術和管理兩方面，涵蓋物理層、系統(tǒng)層、網絡層、應用層和管理層各個層面上的諸多風險類。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成網絡的中斷。根據(jù)國內網絡系統(tǒng)的網絡結構和應用情況，應當從網絡安全、系統(tǒng)安全、應用安全及管理安全等方面進行全面地分析。 風險分析是網絡安全技術需要提供的一個重要功能。它要連續(xù)不斷地對網絡中的消息和事件進行檢測，對系統(tǒng)受到侵擾和破壞的風險進行分析。風險分析必須包括網絡中所有有關的成分。 5 解決方案 5.1 設計原則 針對網絡系統(tǒng)實際情況，解決網絡的安全保密問題是當務之急，考慮技術難度及經費等因素，設計時應遵循如下思想： 1．大幅度地提高系統(tǒng)的安全性和保密性； 2．保持網絡原有的性能特點，即對網絡的協(xié)議和傳輸具有很好的透明性； 3．易于操作、維護，并便于自動化管理，而不增加或少增加附加操作； 4．盡量不影響原網絡拓撲結構，同時便于系統(tǒng)及系統(tǒng)功能的擴展； 5．安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用； 6．安全與密碼產品具有合法性，及經過國家有關管理部門的認可或認證； 7．分步實施原則：分級管理 分步實施。 5.2 安全策略 針對上述分析，我們采取以下安全策略： 1．采用漏洞掃描技術，對重要網絡設備進行風險評估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運行。 2．采用各種安全技術，構筑防御系統(tǒng)，主要有： (1) 防火墻技術：在網絡的對外接口，采用防火墻技術，在網絡層進行訪問控制。 (2) NAT技術：隱藏內部網絡信息。 (3) VPN：虛擬專用網(VPN)是企業(yè)網在因特網等公共網絡上的延伸,通過一個私有的通道在公共網絡上創(chuàng)建一個安全的私有連接。它通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機構、公司業(yè)務伙伴等與公司的企業(yè)網連接起來，構成一個擴展的公司企業(yè)網。在該網中的主機將不會覺察到公共網絡的存在，仿佛所有的機器都處于一個網絡之中。公共網絡似乎只由本網絡在獨占使用，而事實上并非如此。 (4）網絡加密技術(Ipsec) ：采用網絡加密技術，對公網中傳輸?shù)腎P包進行加密和封裝，實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性。它可解決網絡在公網的數(shù)據(jù)傳輸安全性問題，也可解決遠程用戶訪問內網的安全問題。 (5) 認證：提供基于身份的認證，并在各種認證機制中可選擇使用。 (6) 多層次多級別的企業(yè)級的防病毒系統(tǒng)：采用多層次多級別的企業(yè)級的防病毒系統(tǒng)，對病毒實現(xiàn)全面的防護。 (7）網絡的實時監(jiān)測：采用入侵檢測系統(tǒng)，對主機和網絡進行監(jiān)測和預警，進一步提高網絡防御外來攻擊的能力。 3．實時響應與恢復：制定和完善安全管理制度，提高對網絡攻擊等實時響應與恢復能力。 4．建立分層管理和各級安全管理中心。 5.3 防御系統(tǒng) 我們采用防火墻技術、NAT技術、VPN技術、網絡加密技術（Ipsec）、身份認證技術、多層次多級別的防病毒系統(tǒng)、入侵檢測技術，構成網絡安全的防御系統(tǒng)。 5.3.1 物理安全 物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。 為保證信息網絡系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴散。通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構在興建信息中心時首要的設置的條件。 為保證網絡的正常運行，在物理安全方面應采取如下措施： 1．產品保障方面：主要指產品采購、運輸、安裝等方面的安全措施。 2．運行安全方面：網絡中的設備，特別是安全類產品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統(tǒng)，應設置備份系統(tǒng)。 3．防電磁輻射方面：所有重要涉密的設備都需安裝防電磁輻射產品，如輻射干擾機。 4．保安方面：主要是防盜、防火等，還包括網絡系統(tǒng)所有網絡設備、計算機、安全設備的安全防護。 5.3.2 防火墻技術 防火墻是一種網絡安全保障手段,是網絡通信時執(zhí)行的一種訪問控制尺度,其主要目標就是通過控制入、出一個網絡的權限,并迫使所有的連接都經過這樣的檢查,防止一個需要保護的網絡遭外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了內部網絡和Internet之間地任何活動，保證了內部網絡地安全；在物理實現(xiàn)上，防火墻是位于網絡特殊位置地以組硬件設備――路由器、計算機或其他特制地硬件設備。防火墻可以是獨立地系統(tǒng)，也可以在一個進行網絡互連地路由器上實現(xiàn)防火墻。用防火墻來實現(xiàn)網絡安全必須考慮防火墻的網絡拓撲結構： （1）屏蔽路由器：又稱包過濾防火墻。 （2）雙穴主機：雙穴主機是包過濾網關的一種替代。 （3）主機過濾結構：這種結構實際上是包過濾和代理的結合。 （4）屏蔽子網結構：這種防火墻是雙穴主機和被屏蔽主機的變形。 根據(jù)防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和監(jiān)測型。 5.3.2.1 包過濾型 包過濾型產品是防火墻的初級產品,其技術依據(jù)是網絡中的分包傳輸技術。網絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。 包過濾技術的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。 但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術,只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。 5.3.2.2 網絡地址轉化—NAT 網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。 5.3.2.3 代理型 代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務器,代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù),然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內部服務器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內部網絡系統(tǒng)。 代理型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統(tǒng)管理的復雜性。 5.3.2.4 監(jiān)測型 監(jiān)測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義。監(jiān)測型防火墻能夠對各層的數(shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節(jié)點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用。據(jù)權威機構統(tǒng)計,在針對網絡系統(tǒng)的攻擊中,有相當比例的攻擊來自網絡內部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產品,雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監(jiān)測型防火墻技術的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監(jiān)測型防火墻?；趯ο到y(tǒng)成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術。這樣既能夠保證網絡系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本。 實際上,作為當前防火墻產品的主流趨勢,大多數(shù)代理服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產品是基于應用的,應用網關能提供對協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協(xié)議的有效支持和對網絡整體性能的影響上。 相關性：畢業(yè)論文,免費畢業(yè)論文,大學畢業(yè)論文,畢業(yè)論文模板 5.3.3 入侵檢測 入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為 是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務來實現(xiàn)： 1．監(jiān)視、分析用戶及系統(tǒng)活動； 2．系統(tǒng)構造和弱點的審計； 3．識別反映已知進攻的活動模式并向相關人士報警； 4．異常行為模式的統(tǒng)計分析； 5．評估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 6． 操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。 5.4 安全服務 網絡是個動態(tài)的系統(tǒng)，它的變化包括網絡設備的調整，網絡配置的變化，各種操作系統(tǒng)、應用程序的變化，管理人員的變化。即使最初制定的安全策略十分可靠，但是隨著網絡結構和應用的不斷變化，安全策略可能失效，必須及時進行相應的調整。針對以上問題和網管人員的不足，下面介紹一系列比較重要的網絡服務。包括： 1．通信伙伴認證 通信伙伴認證服務的作用是通信伙伴之間相互確庥身份，防止他人插入通信過程。認證一般在通信之前進行。但在必要的時候也可以在通信過程中隨時進行。認證有兩種形式，一種是檢查一方標識的單方認證，一種是通信雙方相互檢查對方標識的相互認證。 通信伙伴認證服務可以通過加密機制，數(shù)字簽名機制以及認證機制實現(xiàn)。 2．訪問控制 訪問控制服務的作用是保證只有被授權的用戶才能訪問網絡和利用資源。訪問控制的基本原理是檢查用戶標識，口令，根據(jù)授予的權限限制其對資源的利用范圍和程度。例如是否有權利用主機CPU運行程序，是否有權對數(shù)據(jù)庫進行查詢和修改等等。 訪問控制服務通過訪問控制機制實現(xiàn)。 3．數(shù)據(jù)保密 數(shù)據(jù)保密服務的作用是防止數(shù)據(jù)被無權者閱讀。數(shù)據(jù)保密既包括存儲中的數(shù)據(jù)，也包括傳輸中的數(shù)據(jù)。保密查以對特定文件，通信鏈路，甚至文件中指定的字段進行。 數(shù)據(jù)保密服務可以通過加密機制和路由控制機制實現(xiàn)。 4．業(yè)務流分析保護 業(yè)務流分析保護服務的作用是防止通過分析業(yè)務流，來獲取業(yè)務量特征，信息長度以及信息源和目的地等信息。 業(yè)務流分析保護服務可以通過加密機制，偽裝業(yè)務流機制，路由控制機制實現(xiàn)。 5．數(shù)據(jù)完整性保護 數(shù)據(jù)完整性保護服務的作用是保護存儲和傳輸中的數(shù)據(jù)不被刪除，更改，插入和重復，必要時該服務也可以包含一定的恢復功能。 數(shù)據(jù)完整性保護服務可以通過加密機制，數(shù)字簽名機制以及數(shù)據(jù)完整性機制實現(xiàn) 6．簽字 簽字服務是用發(fā)送簽字的辦法來對信息的接收進行確認，以證明和承認信息是由簽字者發(fā)出或接收的。這個服務的作用在于避免通信雙方對信息的來源發(fā)生爭議。 簽字服務通過數(shù)字簽名機制及公證機制實現(xiàn)。 5.5 安全技術的研究現(xiàn)狀和動向 我國信息網絡安全研究歷經了通信保密、數(shù)據(jù)保護兩個階段，正在進入網絡信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域它綜合了利用數(shù)學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網絡安全的方案，目前應從安全體系結構、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體。國際上信息安全研究起步較早，力度大，積累多，應用廣，在70年代美國的網絡安全技術基礎理論研究成果“計算機保密模型”（Beu& La padula模型）的基礎上，指定了“ 可信計算機系統(tǒng)安全評估準則”（TCSEC），其后又制定了關于網絡系統(tǒng)數(shù)據(jù)庫方面和系列安全解釋，形成了安全信息系統(tǒng)體系結構的準則。 結論 隨著互聯(lián)網的飛速發(fā)展，網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關心的對象是那些無權使用，但卻試圖獲得遠程服務的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。 本論文從多方面描述了網絡安全的解決方案，目的在于為用戶提供信息的保密，認證和完整性保護機制，使網絡中的服務，數(shù)據(jù)以及系統(tǒng)免受侵擾和破壞。比如防火墻，認證，加密技術等都是當今常用的方法，本論文從這些方法入手深入研究各個方面的網絡安全問題的解決，可以使讀者有對網絡安全技術的更深刻的了解。

首先，必須（時刻）意識到你是在學習一門可以說是最難的課程，是網絡專業(yè)領域的頂尖課程，不是什么人、隨隨便便就能學好的。不然，大家都是黑客，也就沒有黑客和網絡安全的概念了。 很多朋友抱著學一門課程、讀好一本書就可以掌握網絡安全的知識和技能。不幸的是，網絡安全技術決不是幾本書、幾個月就可以速成的。你需要參考大量的參考書。 另一方面，在學校接受的傳統(tǒng)教育觀念使我們習慣由老師來指定教材、參考書。遺憾的是走向了社會，走到工作崗位，沒有人給你指定解決這個安全問題需要什么參考書，你得自己研究，自己解決問題。 網絡安全涉及的知識面廣、術語多、理論知識多。正給學習這門課程帶來很多困難。也需要我們投入比其它課程多的時間和精力來學習它。 概括來說，網絡安全課程的主要內容包括：l 安全基本知識l 應用加密學l 協(xié)議層安全l Windows安全（攻擊與防御）l Unix/Linux安全（攻擊與防御）l 防火墻技術l 入侵監(jiān)測系統(tǒng)l 審計和日志分析 下面分別對每部分知識介紹相應的具體內容和一些參考書（正像前面提到的那樣，有時間、有條件的話，這些書都應該看至少一遍）。一、安全基本知識 這部分的學習過程相對容易些，可以花相對較少的時間來完成。這部分的內容包括：安全的概念和定義、常見的安全標準等。 大部分關于網絡安全基礎的書籍都會有這部分內容的介紹。 下面推薦一些和這部分有關的參考書：l 《CIW：安全專家全息教程》 魏巍 等譯，電子工業(yè)出版社l 《計算機系統(tǒng)安全》 曹天杰，高等教育出版社l 《計算機網絡安全導論》 龔儉，東南大學出版社二、應用加密學 加密學是現(xiàn)代計算機（網絡）安全的基礎，沒有加密技術，任何網絡安全都是一紙空談。 加密技術的應用決不簡單地停留在對數(shù)據(jù)的加密、解密上。密碼學除了可以實現(xiàn)數(shù)據(jù)保密性外、它還可以完成數(shù)據(jù)完整性校驗、用戶身份認證、數(shù)字簽名等功能。 以加密學為基礎的PKI（公鑰基礎設施）是信息安全基礎設施的一個重要組成部分，是一種普遍適用的網絡安全基礎設施。授權管理基礎設施、可信時間戳服務系統(tǒng)、安全保密管理系統(tǒng)、統(tǒng)一的安全電子政務平臺等的構筑都離不開它的支持。 可以說，加密學的應用貫穿了整個網絡安全的學習過程中。因為之前大多數(shù)人沒有接觸過在這方面的內容，這是個弱項、軟肋，所以需要花費比其它部分的時間和精力來學習。也需要參考的參考書。 下面推薦一些和這部分有關的參考書：l 《密碼學》 宋震，萬水出版社l 《密碼工程實踐指南》 馮登國 等譯，清華大學出版社l 《秘密學導引》 吳世忠 等譯，機械工業(yè)（這本書內容較深，不必完全閱讀，可作為參考）三、協(xié)議層安全 系統(tǒng)學習TCP/IP方面的知識有很多原因。要適當?shù)貙嵤┓阑饓^濾，安全管理員必須對于TCP/IP的IP層和TCP/UDP層有很深的理解、黑客經常使用TCP/IP堆棧中一部分區(qū)或來破壞網絡安全等。所以你也必須清楚地了解這些內容。 協(xié)議層安全主要涉及和TCP/IP分層模型有關的內容，包括常見協(xié)議的工作原理和特點、缺陷、保護或替代措施等等。 下面推薦一些和這部分有關的參考書（經典書籍、不可不看）：l 《TCP/IP詳解 卷1：協(xié)議》 范建華 等譯，機械工業(yè)出版社l 《用TCP/IP進行網際互聯(lián) 第一卷原理、協(xié)議與結構》 林瑤 等譯，電子工業(yè)出版社四、Windows安全（攻擊與防御） 因為微軟的Windows NT操作系統(tǒng)已被廣泛應用，所以它們更容易成為被攻擊的目標。 對于Windows安全的學習，其實就是對Windows系統(tǒng)攻擊與防御技術的學習。而Windows系統(tǒng)安全的學習內容將包括：用戶和組、文件系統(tǒng)、策略、系統(tǒng)默認值、審計以及操作系統(tǒng)本身的漏洞的研究。 這部分的參考書較多，實際上任何一本和Windows攻防有關系的書均可。下面推薦一些和這部分有關的參考書：l 《黑客攻防實戰(zhàn)入門》 鄧吉，電子工業(yè)出版社l 《黑客大曝光》 楊繼張 等譯，清華大學出版社l 《狙擊黑客》 宋震 等譯，電子工業(yè)出版社五、Unix/Linux安全（攻擊與防御） 隨著Linux的市占率越來越高，Linux系統(tǒng)、服務器也被部署得越來越廣泛。Unix/Linux系統(tǒng)的安全問題也越來越凸現(xiàn)出來。作為一個網絡安全工作者，Linux安全絕對占有網絡安全一半的重要性。但是相對Windows系統(tǒng)，普通用戶接觸到Linux系統(tǒng)的機會不多。Unix/Linux系統(tǒng)本身的學習也是他們必須餓補的一課！ 下面是推薦的一套Linux系統(tǒng)管理的參考書。l 《Red Hat Linux 9桌面應用》 梁如軍，機械工業(yè)出版社（和網絡安全關系不大，可作為參考）l 《Red Hat Linux 9系統(tǒng)管理》 金潔珩，機械工業(yè)出版社l 《Red Hat Linux 9網絡服務》 梁如軍，機械工業(yè)出版社 除了Unix/Linux系統(tǒng)管理相關的參考書外，這里還給出兩本和安全相關的書籍。l 《Red Hat Linux安全與優(yōu)化》 鄧少鹍，萬水出版社l 《Unix 黑客大曝光》 王一川 譯，清華大學出版社六、防火墻技術 防火墻技術是網絡安全中的重要元素，是外網與內網進行通信時的一道屏障，一個哨崗。除了應該深刻理解防火墻技術的種類、工作原理之外，作為一個網絡安全的管理人員還應該熟悉各種常見的防火墻的配置、維護。 至少應該了解以下防火墻的簡單配置。l 常見的各種個人防火墻軟件的使用l 基于ACL的包過濾防火墻配置（如基于Windows的IPSec配置、基于Cisco路由器的ACL配置等）l 基于Linux操作系統(tǒng)的防火墻配置（Ipchains/Iptables）l ISA配置l Cisco PIX配置l Check Point防火墻配置l 基于Windows、Unix、Cisco路由器的VPN配置 下面推薦一些和這部分有關的參考書：l 《網絡安全與防火墻技術 》 楚狂，人民郵電出版社l 《Linux防火墻》余青霓譯，人民郵電出版社l 《高級防火墻ISA Server 2000》 李靜安，中國鐵道出版社l 《Cisco訪問表配置指南》 前導工作室 譯，機械工業(yè)出版社l 《Check Point NG安全管理》 王東霞譯，機械工業(yè)出版社l 《虛擬專用網（VPN）精解》 王達，清華大學出版社七、入侵監(jiān)測系統(tǒng)（IDS） 防火墻不能對所有應用層的數(shù)據(jù)包進行分析，會成為網絡數(shù)據(jù)通訊的瓶頸。既便是代理型防火墻也不能檢查所有應用層的數(shù)據(jù)包。 入侵檢測是防火墻的合理補充，它通過收集、分析計算機系統(tǒng)、計算機網絡介質上的各種有用信息幫助系統(tǒng)管理員發(fā)現(xiàn)攻擊并進行響應?？梢哉f入侵檢測是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

一：學網絡安全需要的知識：1、必須精通TCP/IP協(xié)議族。 2、學習和了解各種OS 平臺，如：linux,UNIX,BSD 等。 3、隨時關注網絡安全最新安全動態(tài)。 4、熟悉有關網絡安全的硬軟件配置方法。尤其交換機和路由的配置。 5、多泡網絡安全論壇。 6、終身學習。二：網絡安全必修課程：（后面的教材僅為參考）0、專業(yè)基礎：1）C/C++：【C++Primer中文版 還有題解c++ primer 需要一定的C++基礎，如果要比較基本的話，錢能的那本不錯，清華大學出版社的。 <<c programming languge>> 全球最經典的C語言教程 中文名字<<c程序設計語言>>】2）匯編語言 asm3）操作系統(tǒng)【linux,UNIX,BSD】UBUNTU是linux操作系統(tǒng) 鳥哥的linux私房菜】4）計算機網絡1、系統(tǒng)編程：（Windows核心及網絡編程）1、精通VC/C++編程，熟悉windows網絡SOCKET編程開發(fā)1）《Windows網絡編程（第二版）》（附光盤），（美）Anthony Jones, Jim Ohlund著；楊合慶譯；清華大學出版社，2002.12）《Windows 核心編程（第四版）》（附光盤），（美）Jetfrey Richter著，王建華 等譯；機械工業(yè)出版社，2006.92、逆向工程：1）《加密與解密（第二版）》（附光盤），段鋼 著，電子工業(yè)出版社；2004.53、網絡協(xié)議：1）《計算機網絡實驗教程》（《COMPUTER NETWORKS: INTERNET PROTOCOLS IN ACTION》），（美）JEANNA MATTHEWS著，李毅超 曹躍 王鈺 等譯，人民郵電出版社，2006.12）《TCP/IP協(xié)議詳解??卷一：協(xié)議》、《TCP/IP詳解??卷2：實現(xiàn)》、《TCP/IP詳解??卷3：TCP 事務協(xié)議、HTTP、NNTP和UNIX域協(xié)議》，美 W.Richard Stevens 著，機械工業(yè)出版社，2004.9??或《用TCP/IP進行網際互聯(lián)第一卷：原理、協(xié)議與結構》、《用TCP/IP進行網際互聯(lián)第二卷：設計、實現(xiàn)與內核》、《用TCP/IP 進行網際互聯(lián)第三卷:客戶-服務器編程與應用》（第四版）、（美）Douglas E.Comer林瑤 等，電子工業(yè)出版社，2001 年5月4、網絡安全專業(yè)知識結構：1）《信息安全原理與應用（第三版）》（《Security in Computing》），（美）CharlesP Pfleeger，Shari Lawrence Pfleeger著；李毅超，蔡洪斌，譚浩 等譯； 電子工業(yè)出版社，2004.72）《黑客大曝光－－網絡安全機密與解決方案》（第五版），（美）Stuart McClure，Joel Scambray， George Kurtz；王吉軍 等譯，清華大學出版社，2006年4月三：英語學好，也是有用的，尤其是考一些比較有用的證。