摘 要
計算機網(wǎng)絡(luò)飛速發(fā)展的同時��,安全問題不容忽視。網(wǎng)絡(luò)安全經(jīng)過了二十多年的發(fā)展�����,已經(jīng)發(fā)展成為一個跨多門學(xué)科的綜合性科學(xué)��,它包括:通信技術(shù)�、網(wǎng)絡(luò)技術(shù)����、計算機軟件、硬件設(shè)計技術(shù)�、密碼學(xué)、網(wǎng)絡(luò)安全與計算機安全技術(shù)等�����。
在理論上�����,網(wǎng)絡(luò)安全是建立在密碼學(xué)以及網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)上的��。密碼學(xué)是網(wǎng)絡(luò)安全的核心�,利用密碼技術(shù)對信息進行加密傳輸����、加密存儲�、數(shù)據(jù)完整性鑒別、用戶身份鑒別等��,比傳統(tǒng)意義上簡單的存取控制和授權(quán)等技術(shù)更可靠�����。加密算法是一些公式和法則�����,它規(guī)定了明文和密文之間的變換方法�����。由于加密算法的公開化和解密技術(shù)的發(fā)展����,加上發(fā)達國家對關(guān)鍵加密算法的出口限制,各個國家正不斷致力于開發(fā)和設(shè)計新的加密算法和加密機制����。
從技術(shù)上�,網(wǎng)絡(luò)安全取決于兩個方面:網(wǎng)絡(luò)設(shè)備的硬件和軟件��。網(wǎng)絡(luò)安全則由網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合來實現(xiàn)的�����。但是����,由于網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)對其上的信息提供的一種增值服務(wù)��,人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡(luò)的瓶頸�����,因此�����,將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實現(xiàn)��,實現(xiàn)線速的安全處理仍然將是網(wǎng)絡(luò)安全發(fā)展的一個主要方向�。
在安全技術(shù)不斷發(fā)展的同時,全面加強安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個重要內(nèi)容��。因為即使有了網(wǎng)絡(luò)安全的理論基礎(chǔ),沒有對網(wǎng)絡(luò)安全的深刻認識�����、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中��,那么談再多的網(wǎng)絡(luò)安全也是無用的�����。同時�����,網(wǎng)絡(luò)安全不僅僅是防火墻�����,也不是防病毒����、入侵監(jiān)測、防火墻��、身份認證、加密等產(chǎn)品的簡單堆砌�,而是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的�����、體系性的安全系列產(chǎn)品的有機結(jié)合����。
總之,網(wǎng)絡(luò)在今后的發(fā)展過程中不再僅僅是一個工具�����,也不再是一個遙不可及僅供少數(shù)人使用的技術(shù)專利�,它將成為一種文化�����、一種生活融入到社會的各個領(lǐng)域����。
關(guān)鍵詞:計算機;網(wǎng)絡(luò)�;安全;防范
目 錄
摘 要?I
目 錄?II
第1章? 緒 論?1
1.1 計算機網(wǎng)絡(luò)發(fā)展前景?1
1.2 本章小結(jié)?2
第2章 計算機網(wǎng)絡(luò)安全概述?3
2.1 計算機網(wǎng)絡(luò)安全的概念?3
2.2 計算機網(wǎng)絡(luò)安全現(xiàn)狀?3
2.3 本章小結(jié)?4
第3章 網(wǎng)絡(luò)安全的威脅因素?5
3.1 網(wǎng)絡(luò)安全的威脅因素?5
3.2 本章小結(jié)?5
第4章 幾種常用的網(wǎng)絡(luò)安全技術(shù)?7
4.1 防火墻技術(shù)?7
4.1.1 防火墻的主要功能?7
4.1.2 防火墻的主要優(yōu)點?7
4.1.3 防火墻的主要缺陷?8
4.1.4 防火墻的分類?8
4.1.5 防火墻的部署?9
4.2 數(shù)據(jù)加密技術(shù)?10
4.3 系統(tǒng)容災(zāi)技術(shù)?10
4.4 入侵檢測技術(shù)?11
4.4.1 入侵檢測系統(tǒng)的分類?11
4.4.2 目前入侵檢測系統(tǒng)的缺陷?12
4.4.3 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動?12
4.4.4 結(jié)語?13
4.5 漏洞掃描技術(shù)?13
4.6 物理安全?13
4.7 本章小結(jié)?14
第5章 結(jié)束語與展望?15
5.1 論文總結(jié)?15
5.2 工作展望?15
致 謝?17
參考文獻?18
第1章? 緒 論
1.1 計算機網(wǎng)絡(luò)發(fā)展前景
計算機網(wǎng)絡(luò)就是計算機之間通過連接介質(zhì)(如網(wǎng)絡(luò)線、光纖等)互聯(lián)起來�,按照網(wǎng)絡(luò)協(xié)議進行數(shù)據(jù)通信,實現(xiàn)資源共享的一種組織形式�。計算機網(wǎng)絡(luò)是二十世紀(jì)60年代起源于美國,原本用于軍事通訊����,后逐漸進入民用,經(jīng)過短短40年不斷的發(fā)展和完善�����,現(xiàn)已廣泛應(yīng)用于各個領(lǐng)域��,并正以高速向前邁進��。在不久的將來��,我們將看到一個充滿虛擬性的新時代�。在這個虛擬時代,人們的工作和生活方式都會極大地改變�,那時我們將進行虛擬旅行,讀虛擬大學(xué)�,在虛擬辦公室里工作,進行虛擬的駕車測試等�。
對計算機網(wǎng)絡(luò)發(fā)展的前景�,我有如下看法:
〔1〕全球因特網(wǎng)裝置之間的通信量將超過人與人之間的通信量�。因特網(wǎng)將從一個單純的大型數(shù)據(jù)中心發(fā)展成為一個更加聰明的高智商網(wǎng)絡(luò),將成為人與信息之間的高層調(diào)節(jié)者�����。其中的個人網(wǎng)站復(fù)制功能將不斷預(yù)期人們的信息需求和喜好����,用戶將通過網(wǎng)站復(fù)制功能篩選網(wǎng)站,過濾掉與己無關(guān)的信息并將所需信息以最佳格式展現(xiàn)出來��。同時��,個人及企業(yè)將獲得大量個性化服務(wù)��。這些服務(wù)將會由軟件設(shè)計人員在一個開放的平臺中實現(xiàn)�。由軟件驅(qū)動的智能網(wǎng)技術(shù)和無線技術(shù)將使網(wǎng)絡(luò)觸角伸向人們所能到達的任何角落�,同時允許人們自行選擇接收信息的形式。
〔2〕帶寬的成本將變得非常低廉�,甚至可以忽略不計。隨著帶寬瓶頸的突破�����,未來網(wǎng)絡(luò)的收費將來自服務(wù)而不是帶寬。交互性的服務(wù)����,如節(jié)目聯(lián)網(wǎng)的視頻游戲、電子報紙和雜志等服務(wù)將會成為未來網(wǎng)絡(luò)價值的主體�����。
〔3〕在不久的未來����,無線網(wǎng)絡(luò)將更加普及,其中cnet:短距無線網(wǎng)絡(luò)前景看俏��。短距無線通訊標(biāo)準(zhǔn)Zigbee與超寬頻UWB(Ultra wideband)即將制訂完成����,未來將與藍芽(Bluetooth)共同建構(gòu)短距離無線網(wǎng)絡(luò)環(huán)境,包括藍芽��、Zigbee與UWB等相關(guān)產(chǎn)品出貨量都將大幅成長�。隨著電子電機工程師協(xié)會(IEEE)推出802.15個人局域網(wǎng)絡(luò)(WPAN)標(biāo)準(zhǔn)后,新一代的短距離無線通訊發(fā)展趨勢逐漸確定�����,除了藍芽(802.15.1)外,Zigbee(802.15.4)與UWB(802.15.3a)標(biāo)準(zhǔn)也將于今年或明年初陸續(xù)通過��,未來Zigbee與UWB將以各自不同特性��,如速度��、價格等切入短距離無線網(wǎng)絡(luò)環(huán)境�。
〔4〕計算機網(wǎng)絡(luò)飛速發(fā)展的同時,安全問題不容忽視��。網(wǎng)絡(luò)安全經(jīng)過了二十多年的發(fā)展����,已經(jīng)發(fā)展成為一個跨多門學(xué)科的綜合性科學(xué),它包括:通信技術(shù)��、網(wǎng)絡(luò)技術(shù)����、計算機軟件��、硬件設(shè)計技術(shù)�、密碼學(xué)、網(wǎng)絡(luò)安全與計算機安全技術(shù)等��。
在理論上,網(wǎng)絡(luò)安全是建立在密碼學(xué)以及網(wǎng)絡(luò)安全協(xié)議的基礎(chǔ)上的�����。密碼學(xué)是網(wǎng)絡(luò)安全的核心��,利用密碼技術(shù)對信息進行加密傳輸����、加密存儲、數(shù)據(jù)完整性鑒別�����、用戶身份鑒別等�,比傳統(tǒng)意義上簡單的存取控制和授權(quán)等技術(shù)更可靠。加密算法是一些公式和法則�,它規(guī)定了明文和密文之間的變換方法。由于加密算法的公開化和解密技術(shù)的發(fā)展�,加上發(fā)達國家對關(guān)鍵加密算法的出口限制,各個國家正不斷致力于開發(fā)和設(shè)計新的加密算法和加密機制�����。
從技術(shù)上�����,網(wǎng)絡(luò)安全取決于兩個方面:網(wǎng)絡(luò)設(shè)備的硬件和軟件。網(wǎng)絡(luò)安全則由網(wǎng)絡(luò)設(shè)備的軟件和硬件互相配合來實現(xiàn)的����。但是,由于網(wǎng)絡(luò)安全作為網(wǎng)絡(luò)對其上的信息提供的一種增值服務(wù)��,人們往往發(fā)現(xiàn)軟件的處理速度成為網(wǎng)絡(luò)的瓶頸�,因此,將網(wǎng)絡(luò)安全的密碼算法和安全協(xié)議用硬件實現(xiàn)�����,實現(xiàn)線速的安全處理仍然將是網(wǎng)絡(luò)安全發(fā)展的一個主要方向�。
在安全技術(shù)不斷發(fā)展的同時,全面加強安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個重要內(nèi)容�。因為即使有了網(wǎng)絡(luò)安全的理論基礎(chǔ),沒有對網(wǎng)絡(luò)安全的深刻認識����、沒有廣泛地將它應(yīng)用于網(wǎng)絡(luò)中,那么談再多的網(wǎng)絡(luò)安全也是無用的����。同時,網(wǎng)絡(luò)安全不僅僅是防火墻�����,也不是防病毒�����、入侵監(jiān)測�、防火墻、身份認證����、加密等產(chǎn)品的簡單堆砌,而是包括從系統(tǒng)到應(yīng)用�����、從設(shè)備到服務(wù)的比較完整的�、體系性的安全系列產(chǎn)品的有機結(jié)合。
總之��,網(wǎng)絡(luò)在今后的發(fā)展過程中不再僅僅是一個工具��,也不再是一個遙不可及僅供少數(shù)人使用的技術(shù)專利,它將成為一種文化��、一種生活融入到社會的各個領(lǐng)域�。
1.2 本章小結(jié)
計算機網(wǎng)絡(luò)經(jīng)過40多年不斷發(fā)展和完善,現(xiàn)在正以高速的發(fā)展方向邁進�����。全球的因特網(wǎng)裝置之間的通信量將超過人與人之間的通信量����,因特網(wǎng)將從一個單純的大型數(shù)據(jù)中心發(fā)展成為一個高智商網(wǎng)絡(luò),將成為人與信息之間的高層調(diào)節(jié)者��。帶寬的成本將會變得非常低�����,甚至忽略不計�����。在不久的將來��,無線網(wǎng)絡(luò)將更加普及����,尤其短距無線網(wǎng)絡(luò)的前景更大�����。在計算機網(wǎng)絡(luò)飛速發(fā)展的同時,網(wǎng)絡(luò)安全問題也更加突出�,因此各國正不斷致力于開發(fā)和設(shè)計新的加密算法加密機制,加強安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)發(fā)展的一個重要內(nèi)容��?����?傊?�,計算機網(wǎng)絡(luò)在今后的發(fā)展中范圍更廣��、潛力更大�����,將會融入到社會各個領(lǐng)域��。
第2章 計算機網(wǎng)絡(luò)安全概述
2.1 計算機網(wǎng)絡(luò)安全的概念
國際標(biāo)準(zhǔn)化組織將“計算機安全”定義為:“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護����,保護計算機硬件�、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞����、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容��,其邏輯安全的內(nèi)容可理解為我們常說的信息安全��,是指對信息的保密性��、完整性和可用性的保護�,而網(wǎng)絡(luò)安全性的含義是信息安全的引申,即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性��、完整性和可用性的保護��。計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化�,使用者不同,對網(wǎng)絡(luò)安全的認識和要求也就不同��。從普通使用者的角度來說�,可能僅僅希望個人隱私或機密信息在網(wǎng)絡(luò)上傳輸時受到保護,避免被竊聽��、篡改和偽造;而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外�����,還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害����、軍事打擊等對網(wǎng)絡(luò)硬件的破壞��,以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信�,保持網(wǎng)絡(luò)通信的連續(xù)性。
從本質(zhì)上來講��,網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件�����、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性��,使其不致因偶然的或者惡意的攻擊遭到破壞��,網(wǎng)絡(luò)安全既有技術(shù)方面的問題����,也有管理方面的問題�,兩方面相互補充�,缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)�����。
2.2 計算機網(wǎng)絡(luò)安全現(xiàn)狀
計算機網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬��、軟件及系統(tǒng)中的數(shù)據(jù)受到保護��,不受偶然或惡意的原因而遭到破壞��、更改�����、泄露�����,系統(tǒng)連續(xù)�����、可靠�����、正常地運行,網(wǎng)絡(luò)服務(wù)不中斷�。計算機和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性,使得計算機和網(wǎng)絡(luò)安全成為一個需要持續(xù)更新和提高的領(lǐng)域����。目前黑客的攻擊方法已超過了計算機病毒的種類,而且許多攻擊都是致命的����。在Internet網(wǎng)絡(luò)上,因互聯(lián)網(wǎng)本身沒有時空和地域的限制����,每當(dāng)有一種新的攻擊手段產(chǎn)生����,就能在一周內(nèi)傳遍全世界,這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進行攻擊從而造成計算機系統(tǒng)及網(wǎng)絡(luò)癱瘓�����。蠕蟲����、后門(Back-doors)����、Rootkits��、DOS(DenialofServices)和Sniffer(網(wǎng)路監(jiān)聽)是大家熟悉的幾種黑客攻擊手段��。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力��,時至今日����,有愈演愈烈之勢。這幾類攻擊手段的新變種�����,與以前出現(xiàn)的攻擊方法相比��,更加智能化��,攻擊目標(biāo)直指互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次�。從Web程序的控制程序到內(nèi)核級Rootlets。黑客的攻擊手法不斷升級翻新�,向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)�����。
2.3 本章小結(jié)
本章主要介紹了計算機網(wǎng)絡(luò)安全的概念及概念所包含的內(nèi)容�,以及各內(nèi)容的具體含義����。計算機網(wǎng)絡(luò)安全的具體含義會因使用者的不同而變化,不同的使用者�,對計算機網(wǎng)絡(luò)的認識和要求也不同。
計算機和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性����,使計算機網(wǎng)絡(luò)安全成為一個需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了病毒的種類�,而且許多攻擊都是致命的。由于互聯(lián)網(wǎng)本身的性質(zhì)沒有失控和地域的限制��,每種新攻擊手段在一周內(nèi)傳遍全世界�,這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進行攻擊導(dǎo)致計算機網(wǎng)絡(luò)及系統(tǒng)癱瘓��。變種新出現(xiàn)的攻擊方法更具智能化����,攻擊目標(biāo)直接指向互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次�����,而且黑客手段不斷升級翻新����,因此�����,計算機網(wǎng)絡(luò)安全面臨更大挑戰(zhàn)����。
第3章 網(wǎng)絡(luò)安全的威脅因素
3.1 網(wǎng)絡(luò)安全的威脅因素
歸納起來,針對網(wǎng)絡(luò)安全的威脅主要有:軟件漏洞����、配置不當(dāng)、安全意識不強�、病毒、黑客攻擊等�。
〔1〕軟件漏洞:
每一個操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地����,一旦連接入網(wǎng)�����,將成為眾矢之的�。
〔2〕配置不當(dāng):
安全配置不當(dāng)造成安全漏洞�����,例如��,防火墻軟件的配置不正確�,那么它根本不起作用。對特定的網(wǎng)絡(luò)應(yīng)用程序��,當(dāng)它啟動時�����,就打開了一系列的安全缺口��,許多與該軟件捆綁在一起的應(yīng)用軟件也會被啟用����。除非用戶禁止該程序或?qū)ζ溥M行正確配置,否則����,安全隱患始終存在。
〔3〕安全意識不強:
用戶口令選擇不慎�����,或?qū)⒆约旱膸ぬ栯S意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅�。
〔4〕病毒:
目前數(shù)據(jù)安全的頭號大敵是計算機病毒,它是編制者在計算機程序中插入的破壞計算機功能或數(shù)據(jù)�����,影響計算機軟件�、硬件的正常運行并且能夠自我復(fù)制的一組計算機指令或程序代碼。計算機病毒具有傳染性�、寄生性、隱蔽性�、觸發(fā)性、破壞性等特點��。因此����,提高對病毒的防范刻不容緩。
〔5〕黑客攻擊:
對于計算機數(shù)據(jù)安全構(gòu)成威脅的另一個方面是來自電腦黑客(backer)。電腦黑客利用系統(tǒng)中的安全漏洞非法進入他人計算機系統(tǒng)����,其危害性非常大。從某種意義上講��,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重��。
3.2 本章小結(jié)
目前�,針對網(wǎng)絡(luò)安全的威脅因素歸納為以下幾點:軟件漏洞、配置不當(dāng)�����、安全意識不強��、病毒����、黑客攻擊等。軟件漏洞是每一個系統(tǒng)或網(wǎng)絡(luò)軟件不可避免的�,安全漏洞是由于安全配置不當(dāng)而造成。用戶口令選擇不慎或?qū)⒆约旱馁~號隨意轉(zhuǎn)借他人或與他人共享帶來網(wǎng)絡(luò)安全問題�,這是由于安全意識不強;病毒已成為數(shù)據(jù)安全的頭號大敵�,而且其具有傳染性�、寄生性��、隱蔽性�����、觸發(fā)性��、破壞性等特點����;威脅計算機數(shù)據(jù)安全的另一方面來自電腦黑客����,其危害性非常大,尤其在信息安全方面危害甚至比一般電腦病毒更為嚴(yán)重�。
第4章 幾種常用的網(wǎng)絡(luò)安全技術(shù)
4.1 防火墻技術(shù)
網(wǎng)絡(luò)安全所說的防火墻(Fire Wall)是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離�����、限制網(wǎng)絡(luò)互訪�,用來保護內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點上��。所有來自Internet(外部網(wǎng))的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻。
4.1.1 防火墻的主要功能
防火墻的主要功能包括:
〔1〕防火墻可以對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描�,從而過濾掉一些攻擊,以免其在目標(biāo)計算機上被執(zhí)行��。
〔2〕防火墻可以關(guān)閉不使用的端口��,而且它還能禁止特定端口的輸出信息�。
〔3〕防火墻可以禁止來自特殊站點的訪問,從而可以防止來自不明入侵者的所有通信��,過濾掉不安全的服務(wù)和控制非法用戶對網(wǎng)絡(luò)的訪問��。
〔4〕防火墻可以控制網(wǎng)絡(luò)內(nèi)部人員對Internet上特殊站點的訪問�����。
〔5〕防火墻提供了監(jiān)視Internet安全和預(yù)警的方便端點����。
4.1.2 防火墻的主要優(yōu)點
防火墻的主要優(yōu)點包括:
〔1〕可作為網(wǎng)絡(luò)安全策略的焦點
防火墻可作為網(wǎng)絡(luò)通信的阻塞點。所有進出網(wǎng)絡(luò)的信息都必須通過防火墻����。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來,將承擔(dān)風(fēng)險的范圍從整個內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺或幾臺主機上�。從而在結(jié)構(gòu)上形成了一個控制中心�,極大地加強了網(wǎng)絡(luò)安全�,并簡化了網(wǎng)絡(luò)管理。
〔2〕可以有效記錄網(wǎng)絡(luò)活動
由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間����,即所有傳輸?shù)男畔⒍紩┻^防火墻�����。所以�,防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息,提供監(jiān)視�、管理與審計網(wǎng)絡(luò)的使用和預(yù)警功能。
〔3〕為解決IP地址危機提供了可行方案?
由于Internet的日益發(fā)展及IP地址空間有限�����,使得用戶無法獲得足夠的注冊IP地址��。防火墻則處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置�����。NAT有助于緩和IP地址空間的不足�����。
4.1.3 防火墻的主要缺陷
由于互聯(lián)網(wǎng)的開放性,防火墻也有一些弱點�,使它不能完全保護網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有:
〔1〕防火墻對繞過它的攻擊行為無能為力����。
〔2〕防火墻無法防范病毒,不能防止感染了病毒的軟件或文件的傳輸�,對于病毒只能安裝反病毒軟件。
〔3〕防火墻需要有特殊的較為封閉的網(wǎng)絡(luò)拓撲結(jié)構(gòu)來支持�。網(wǎng)絡(luò)安全性的提高往往是以犧牲網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價�。
4.1.4 防火墻的分類
防火墻的實現(xiàn)從層次上大體可分為三類:包過濾防火墻,代理防火墻和復(fù)合型防火墻��。???
〔1〕包過濾防火墻
包過濾防火墻是在IP層實現(xiàn)�,它可以只用路由器來實現(xiàn)。包過濾防火墻根據(jù)報文的源IP地址�����,目的IP地址�、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過�����。
包過濾路由器的最大優(yōu)點是:對用戶來說是透明的,即不需要用戶名和密碼來登陸�����。???
包過濾路由器的弊端是明顯的�,由于它通常沒有用戶的使用記錄,我們不能從訪問中發(fā)現(xiàn)黑客的攻擊記錄�����。它還有一個致命的弱點�,就是不能在用戶級別上進行過濾����,即不能識別用戶與防止IP地址的盜用。如果攻擊者將自己的主機設(shè)置為一個合法主機的IP地址�,則很容易地通過包過濾防火墻。
〔2〕代理防火墻
代理防火墻也叫應(yīng)用層網(wǎng)關(guān)防火墻�����,包過濾防火墻可以按照IP地址來禁止未授權(quán)者的訪問�。但它不適合單位用來控制內(nèi)部人員訪問外部網(wǎng)絡(luò)��,對于這樣的企業(yè)�����,應(yīng)用代理防火墻是更好的選擇�。
代理服務(wù)是設(shè)置在Internet防火墻網(wǎng)關(guān)上的應(yīng)用�����,是在網(wǎng)管員允許下或拒絕的特定的應(yīng)用程序或者特定服務(wù)��,一般情況下可應(yīng)用于特定的互聯(lián)網(wǎng)服務(wù)�,如超文本傳輸、遠程文件傳輸?shù)?����。同時還可應(yīng)用于實施較強的數(shù)據(jù)流監(jiān)控�、過濾、記錄和報告等功能��。
應(yīng)用層網(wǎng)關(guān)包括應(yīng)用代理服務(wù)器��、回路級代理服務(wù)器、代管服務(wù)器����、IP通道、網(wǎng)絡(luò)地址轉(zhuǎn)換器��、隔離域名服務(wù)器和郵件技術(shù)等�����。
〔3〕復(fù)合型防火墻??? 復(fù)合型防火墻是將數(shù)據(jù)包過濾和代理服務(wù)結(jié)合在一起使用�����,從而實現(xiàn)了網(wǎng)絡(luò)安全性�、性能和透明度的優(yōu)勢互補����。
隨著技術(shù)的發(fā)展,防火墻產(chǎn)品還在不斷完善��、發(fā)展�����。目前出現(xiàn)的新技術(shù)類型主要有以下幾種:狀態(tài)監(jiān)視技術(shù)、安全操作系統(tǒng)����、自適應(yīng)代理技術(shù)、實時侵入檢測系統(tǒng)等�����?����;旌鲜褂脭?shù)據(jù)包過濾技術(shù)�、代理服務(wù)技術(shù)和一些新技術(shù)是未來防火墻的趨勢。
4.1.5 防火墻的部署
防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備�����,只有在關(guān)鍵網(wǎng)絡(luò)流量通過防火墻的時候����,防火墻才能對此實行檢查,防護功能����。
〔1〕防火墻的位置一般是內(nèi)網(wǎng)與外網(wǎng)的接合處��,用來阻止來自外部網(wǎng)絡(luò)的入侵�。
〔2〕如果內(nèi)部網(wǎng)絡(luò)規(guī)模較大����,并且設(shè)置虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個VLAN之間設(shè)置防火墻��。
〔3〕通過公網(wǎng)連接的總部與各分支機構(gòu)之間應(yīng)該設(shè)置防火墻�����。
〔4〕主干交換機至服務(wù)器區(qū)域工作組交換機的骨干鏈路上�����。
〔5〕遠程撥號服務(wù)器與骨干交換機或路由器之間��。
總之����,在網(wǎng)絡(luò)拓撲上��,防火墻應(yīng)當(dāng)處在網(wǎng)絡(luò)的出口與不同安全等級區(qū)域的結(jié)合處����。安裝防火墻的原則是:只要有惡意侵入的可能��,無論是內(nèi)部網(wǎng)還是外部網(wǎng)的連接處都應(yīng)安裝防火墻�。
防火墻技術(shù)是指網(wǎng)絡(luò)之間通過預(yù)定義的安全策略�,對內(nèi)外網(wǎng)通信強制實施訪問控制的安全應(yīng)用措施。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實施檢查�����,以決定網(wǎng)絡(luò)之間的通信是否被允許����,并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。由于它簡單實用且透明度高�����,可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下����,達到一定的安全要求,所以被廣泛使用��。據(jù)預(yù)測近5年世界防火墻需求的年增長率將達到174%��。
目前,市場上防火墻產(chǎn)品很多����,一些廠商還把防火墻技術(shù)并入其硬件產(chǎn)品中,即在其硬件產(chǎn)品中采取功能更加先進的安全防范機制��?����?梢灶A(yù)見防火墻技術(shù)作為一種簡單實用的網(wǎng)絡(luò)信息安全技術(shù)將得到進一步發(fā)展�����。然而��,防火墻也并非人們想象的那樣不可滲透��。在過去的統(tǒng)計中曾遭受過黑客入侵的網(wǎng)絡(luò)用戶有三分之一是有防火墻保護的�,也就是說要保證網(wǎng)絡(luò)信息的安全還必須有其他一系列措施,例如對數(shù)據(jù)進行加密處理�����。需要說明的是防火墻只能抵御來自外部網(wǎng)絡(luò)的侵?jǐn)_�����,而對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全卻無能為力��。要保證企業(yè)內(nèi)部網(wǎng)的安全��,還需通過對內(nèi)部網(wǎng)絡(luò)的有效控制和管理來實現(xiàn)�。
4.2 數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)就是對信息進行重新編碼,從而隱藏信息內(nèi)容��,使非法用戶無法獲取信息����、的真實內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性��,防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一��。
數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲�、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術(shù)4種��。數(shù)據(jù)存儲加密技術(shù)是以防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的��,可分為密文存儲和存取控制兩種;數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密�����,常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術(shù)的目的是對介入信息的傳送、存取�����、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進行驗證�����,達到保密的要求�,系統(tǒng)通過對比驗證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù),實現(xiàn)對數(shù)據(jù)的安全保護�����。數(shù)據(jù)加密在許多場合集中表現(xiàn)為密匙的應(yīng)用����,密匙管理技術(shù)事實上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生�����、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施����。
數(shù)據(jù)加密技術(shù)主要是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性�����,能夠有效地防止機密信息的泄漏��。另外�,它也廣泛地被應(yīng)用于信息鑒別、數(shù)字簽名等技術(shù)中�����,用來防止電子欺騙�����,這對信息處理系統(tǒng)的安全起到極其重要的作用��。
4.3 系統(tǒng)容災(zāi)技術(shù)
一個完整的網(wǎng)絡(luò)安全體系����,只有防范和檢測措施是不夠的,還必須具有災(zāi)難容忍和系統(tǒng)恢復(fù)能力�。因為任何一種網(wǎng)絡(luò)安全設(shè)施都不可能做到萬無一失����, 一旦發(fā)生漏防漏檢事件�, 其后果將是災(zāi)難性的。此外��,天災(zāi)人禍�����、不可抗力等所導(dǎo)致的事故也會對信息系統(tǒng)造成毀滅性的破壞�����。這就要求即使發(fā)生系統(tǒng)災(zāi)難����,也能快速地恢復(fù)系統(tǒng)和數(shù)據(jù),才能完整地保護網(wǎng)絡(luò)信息系統(tǒng)的安全?���,F(xiàn)階段主要有基于數(shù)據(jù)備份和基于系統(tǒng)容錯的系統(tǒng)容災(zāi)技術(shù)。數(shù)據(jù)備份是數(shù)據(jù)保護的最后屏障�����,不允許有任何閃失。但離線介質(zhì)不能保證安全��。數(shù)據(jù)容災(zāi)通過IP容災(zāi)技術(shù)來保證數(shù)據(jù)的安全��。數(shù)據(jù)容災(zāi)使用兩個存儲器�,在兩者之間建立復(fù)制關(guān)系�����,一個放在本地��,另一個放在異地����。本地存儲器供本地備份系統(tǒng)使用,異地容災(zāi)備份存儲器實時復(fù)制本地備份存儲器的關(guān)鍵數(shù)據(jù)�。二者通過IP相連,構(gòu)成完整的數(shù)據(jù)容災(zāi)系統(tǒng)�,也能提供數(shù)據(jù)庫容災(zāi)功能。
集群技術(shù)是一種系統(tǒng)級的系統(tǒng)容錯技術(shù)����,通過對系統(tǒng)的整體冗余和容錯來解決系統(tǒng)任何部件失效而引起的系統(tǒng)死機和不可用問題。集群系統(tǒng)可以采用雙機熱備份、本地集群網(wǎng)絡(luò)和異地集群網(wǎng)絡(luò)等多種形式實現(xiàn)����,分別提供不同的系統(tǒng)可用性和容災(zāi)性。其中異地集群網(wǎng)絡(luò)的容災(zāi)性是最好的�����。存儲�、備份和容災(zāi)技術(shù)的充分結(jié)合,構(gòu)成的數(shù)據(jù)存儲系統(tǒng)��,是數(shù)據(jù)技術(shù)發(fā)展的重要階段����。隨著存儲網(wǎng)絡(luò)化時代的發(fā)展,傳統(tǒng)的功能單一的存儲器�����,將越來越讓位于一體化的多功能網(wǎng)絡(luò)存儲器��。
4.4 入侵檢測技術(shù)
入侵檢測技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息(系統(tǒng)運行狀態(tài)����、網(wǎng)絡(luò)流經(jīng)的信息等)��,并對這些信息進行分析和判斷�。通過檢測網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為����,入侵檢測系統(tǒng)可以及時發(fā)現(xiàn)攻擊或異常行為并進行阻斷、記錄�、報警等響應(yīng),從而將攻擊行為帶來的破壞和影響降至最低�。同時,入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為�、審計系統(tǒng)配置和漏洞�����、識別異常行為和攻擊行為(通過異常檢測和模式匹配等技術(shù))�、對攻擊行為或異常行為進行響應(yīng)、審計和跟蹤等�����。
典型的IDS系統(tǒng)模型包括4個功能部件:
〔1〕事件產(chǎn)生器�,提供事件記錄流的信息源。???
〔2〕事件分析器�����,這是發(fā)現(xiàn)入侵跡象的分析引擎。???
〔3〕響應(yīng)單元����,這是基于分析引擎的分析結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件。???
〔4〕事件數(shù)據(jù)庫��,這是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱����,它可以是復(fù)雜的數(shù)據(jù)庫,也可以是簡單的文本文件�。
4.4.1 入侵檢測系統(tǒng)的分類???
入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)來源不同,可分為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)����。
網(wǎng)絡(luò)型入侵檢測系統(tǒng)的實現(xiàn)方式是將某臺主機的網(wǎng)卡設(shè)置成混雜模式,監(jiān)聽本網(wǎng)段內(nèi)的所有數(shù)據(jù)包并進行判斷或直接在路由設(shè)備上放置入侵檢測模塊����。一般來說,網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負著保護整個網(wǎng)絡(luò)的任務(wù)��。???
主機型入侵檢測系統(tǒng)是以系統(tǒng)日志����、應(yīng)用程序日志等作為數(shù)據(jù)源�,當(dāng)然也可以通過其它手段(如檢測系統(tǒng)調(diào)用)從所有的主機上收集信息進行分析����。???
入侵檢測系統(tǒng)根據(jù)檢測的方法不同可分為兩大類:異常和誤用。???
異常入侵檢測根據(jù)用戶的異常行為或?qū)Y源的異常存放來判斷是否發(fā)生了入侵事件����。???
誤用入侵檢測通過檢查對照已有的攻擊特征、定義攻擊模式��、比較用戶的活動來了解入侵����。例如��,著名的Internet蠕蟲事件是利用fingerd(FreeBSD)上的守護進程����,允許用戶遠程讀取文件系統(tǒng),因而存在可以查看文件內(nèi)容的漏洞和Sendmail(Linux上的守護進程�����,利用其漏洞可取得root權(quán)限)的漏洞進行攻擊。對這種攻擊可以使用這種檢測方法��。
4.4.2 目前入侵檢測系統(tǒng)的缺陷???
入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全防護的重要手段��,目前的IDS還存在很多問題����,有待于我們進一步完善。???
〔1〕高誤報率???
誤報率主要存在于兩個方面:一方面是指正常請求誤認為入侵行為��;另一方面是指對IDS用戶不關(guān)心事件的報警�。導(dǎo)致IDS產(chǎn)品高誤報率的原因是IDS檢測精度過低和用戶對誤報概念的不確定。???
〔2〕缺乏主動防御功能???
入侵檢測技術(shù)作為一種被動且功能有限的安全防御技術(shù)��,缺乏主動防御功能����。因此,需要在一代IDS產(chǎn)品中加入主動防御功能�,才能變被動為主動。
4.4.3 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動???
防火墻是一個跨接多個物理網(wǎng)段的網(wǎng)絡(luò)安全關(guān)口設(shè)備�����。它可以對所有流經(jīng)它的流量進行各種各樣最直接的操作處理��,如無通告拒絕、ICMP拒絕�����、轉(zhuǎn)發(fā)通過(可轉(zhuǎn)發(fā)至任何端口)��、各以報頭檢查修改�、各層報文內(nèi)容檢查修改、鏈路帶寬資源管理��、流量統(tǒng)計��、訪問日志�、協(xié)議轉(zhuǎn)換等。
當(dāng)我們實現(xiàn)防火墻與入侵檢測系統(tǒng)的相互聯(lián)動后����,IDS就不必為它所連接的鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量。因此�,IDS可以將大部分的系統(tǒng)資源用于對采集報文的分析����,而這正是IDS最眩目的亮點。IDS可以有足夠的時間和資源做些有效的防御工作�,如入侵活動報警��、不同業(yè)務(wù)類別的網(wǎng)絡(luò)流量統(tǒng)計�、網(wǎng)絡(luò)多種流量協(xié)議恢復(fù)(實時監(jiān)控功能)等����。IDS高智能的數(shù)據(jù)分析技術(shù)、詳盡的入侵知識描述庫可以提供比防火墻更為準(zhǔn)確����、更嚴(yán)格、更全面的訪問行為審查功能��。???
綜上所述�����,防火墻與IDS在功能上可以形成互補關(guān)系�。這樣的組合較以前單一的動態(tài)技術(shù)或靜態(tài)技術(shù)都有了較大的提高。使網(wǎng)絡(luò)的防御安全能力大大提高�。防火墻與IDS的相互聯(lián)動可以很好地發(fā)揮兩者的優(yōu)點,淡化各自的缺陷�,使防御系統(tǒng)成為一個更加堅固的圍墻。在未來的網(wǎng)絡(luò)安全領(lǐng)域中��,動態(tài)技術(shù)與靜態(tài)技術(shù)的聯(lián)動將有很大的發(fā)展市場和空間。
4.4.4 結(jié)語
網(wǎng)絡(luò)安全是一個很大的系統(tǒng)工程��,除了防火墻和入侵檢測系統(tǒng)之外�,還包括反病毒技術(shù)和加密技術(shù)。反病毒技術(shù)是查找和清除計算機病毒技術(shù)��。其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎�。然后根據(jù)病毒特征碼數(shù)據(jù)庫來進行對比式查殺。加密技術(shù)主要是隱藏信息��、防止對信息篡改或防止非法使用信息而轉(zhuǎn)換數(shù)據(jù)的功能或方法�����。它是將數(shù)據(jù)信息轉(zhuǎn)換為一種不易解讀的模式來保護信息��,除非有解密密鑰才能閱讀信息�����。加密技術(shù)包括算法和密鑰�。算法是將普通的文本(或是可以理解的信息)與一串?dāng)?shù)字(密鑰)的結(jié)合,產(chǎn)生不可理解的密文的步驟����。密鑰是用來對數(shù)據(jù)進行編碼和解碼的一種算法。在安全保密中����,可通過適當(dāng)?shù)拿荑€加密技術(shù)和管理機制來保證網(wǎng)絡(luò)的信息通信安全。
4.5 漏洞掃描技術(shù)
??? 漏洞掃描是自動檢測遠端或本地主機安全的技術(shù)����,它查詢TCP/IP各種服務(wù)的端口,并記錄目標(biāo)主機的響應(yīng)�����,收集關(guān)于某些特定項目的有用信息�。這項技術(shù)的具體實現(xiàn)就是安全掃描程序。掃描程序可以在很短的時間內(nèi)查出現(xiàn)存的安全脆弱點�。掃描程序開發(fā)者利用可得到的攻擊方法,并把它們集成到整個掃描中�,掃描后以統(tǒng)計的格式輸出,便于參考和分析����。
4.6 物理安全
為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全,還要防止系統(tǒng)信息在空間的擴散�。通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號����。為保證網(wǎng)絡(luò)的正常運行�����,在物理安全方面應(yīng)采取如下措施:
〔1〕產(chǎn)品保障方面:主要指產(chǎn)品采購����、運輸��、安裝等方面的安全措施��。
〔2〕運行安全方面:網(wǎng)絡(luò)中的設(shè)備�����,特別是安全類產(chǎn)品在使用過程中����,必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對一些關(guān)鍵設(shè)備和系統(tǒng)�����,應(yīng)設(shè)置備份系統(tǒng)��。
〔3〕防電磁輻射方面:所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品,如輻射干擾機�。
〔4〕保安方面:主要是防盜、防火等�,還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備����、計算機、安全設(shè)備的安全防護����。???
計算機網(wǎng)絡(luò)安全是個綜合性和復(fù)雜性的問題。面對網(wǎng)絡(luò)安全行業(yè)的飛速發(fā)展以及整個社會越來越快的信息化進程��,各種新技術(shù)將會不斷出現(xiàn)和應(yīng)用����。???
網(wǎng)絡(luò)安全孕育著無限的機遇和挑戰(zhàn),作為一個熱門的研究領(lǐng)域和其擁有的重要戰(zhàn)略意義��,相信未來網(wǎng)絡(luò)安全技術(shù)將會取得更加長足的發(fā)展��。
4.7 本章小結(jié)
本章主要介紹了常用的幾種網(wǎng)絡(luò)安全防范技術(shù)�,有防火墻技術(shù),數(shù)據(jù)加密技術(shù)�����,系統(tǒng)容災(zāi),入侵檢測技術(shù)�,漏洞掃描技術(shù),物理安全�����。
防火墻是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)����,防火墻這一節(jié)主要講述了防火墻的分類,主要功能和優(yōu)缺點以及防火墻的部署����,數(shù)據(jù)加密技術(shù)是信息重新編碼從而隱藏信息內(nèi)容使非法用戶無法獲取信息的真實的一種技術(shù)手段,是為了提供信息系統(tǒng)及數(shù)據(jù)的安全性和保密性����,防止外部獲析采用的手段之一。系統(tǒng)容災(zāi)技術(shù)是可以使系統(tǒng)和數(shù)據(jù)快速恢復(fù)的技術(shù)����。入侵檢測技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息并對這些信息進行分析和判斷。入侵檢測技術(shù)可以即使發(fā)現(xiàn)攻擊和異常行為并進行阻斷記錄報警等響應(yīng)��,從而使攻擊行為帶來的破壞影響降到最低,為了減少或干擾擴散出去的空間信號��,通常是在物理上采取一定的防護措施保證網(wǎng)絡(luò)的正常運行�。
第5章 結(jié)束語與展望
5.1 論文總結(jié)
隨著互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題�����。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題�����,其中也會涉及到是否構(gòu)成犯罪行為的問題�。在其最簡單的形式中����,它主要關(guān)心的是確保無關(guān)人員不能讀取,更不能修改傳送給其他接收者的信息��。
大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的��?���?梢钥闯霰WC網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯誤�。它包括要防范那些聰明的�,通常也是狡猾的、專業(yè)的�����,并且在時間和金錢上是很充足�����、富有的人����。同時,必須清楚地認識到�,能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說,收效甚微��。對于這一問題我們應(yīng)該十分重視����。
影響計算機網(wǎng)絡(luò)安全的主要因素:
〔1〕網(wǎng)絡(luò)系統(tǒng)在穩(wěn)定性和可擴充性方面存在問題。
由于設(shè)計的系統(tǒng)不規(guī)范��、不合理以及缺乏安全性考慮�,因而使其受到影響��。
〔2〕網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)�����。
一是文件服務(wù)器����。它是網(wǎng)絡(luò)的中樞�,其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量��。網(wǎng)絡(luò)應(yīng)用的需求沒有引起足夠的重視����,設(shè)計和選型考慮欠周密�����,從而使網(wǎng)絡(luò)功能發(fā)揮受阻����,影響網(wǎng)絡(luò)的可靠性、擴充性和升級換代�����。二是網(wǎng)卡用工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定。
〔3〕缺乏安全策略��。
許多站點在防火墻配置上無意識地擴大了訪問權(quán)限����,忽視了這些權(quán)限可能會被其他人員濫用。
〔4〕訪問控制配置的復(fù)雜性��,容易導(dǎo)致配置錯誤�,從而給他人以可乘之機。
〔5〕管理制度不健全�,網(wǎng)絡(luò)管理、維護任其自然�����。
5.2 工作展望
對網(wǎng)絡(luò)安全本質(zhì)的認識卻還處于一個相當(dāng)原始的階段�����,其表現(xiàn)形式是基于密碼術(shù)的網(wǎng)絡(luò)安全和基于防火墻的網(wǎng)絡(luò)安全尚不能完美地結(jié)合成一種更加有效的安全機制�。我們期望,如果能夠提出一個合理的數(shù)學(xué)模型,將會對網(wǎng)絡(luò)安全的研究和可實際應(yīng)用網(wǎng)絡(luò)安全系統(tǒng)的開發(fā)起非常大的促進作用�����。
從實用的角度出發(fā)��,目前人們已提出了一些基于人工智能的網(wǎng)絡(luò)安全檢測專家系統(tǒng)�����。這方面����,SRI(Stanford Research Institute)和Purdue大學(xué)已做了許多工作。同時��,基于主動網(wǎng)絡(luò)安全檢測的安全系統(tǒng)的研究也已起步��,在這方面����,Internet Security Systems也已有一些產(chǎn)品問世�����。
致 謝
在論文完成之際,我要特別感謝我的指導(dǎo)老師宋巍老師和王京老師的熱情關(guān)懷和悉心指導(dǎo)�����。在我撰寫論文的過程中����,宋巍老師和王京老師的傾注了大量的心血和汗水,無論是在論文的選題�����、構(gòu)思和資料的收集方面�,還是在論文的研究方法以及成文定稿方面,我都得到了宋巍老師和王京老師的悉心細致的教誨和無私的幫助��,特別是她廣博的學(xué)識����、深厚的學(xué)術(shù)素養(yǎng)、嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和一絲不茍的工作作風(fēng)使我終生受益��,在此表示真誠地感謝和深深的謝意����。
在論文的寫作過程中����,也得到了許多同學(xué)的寶貴建議��,同時還到許多在工作過程中許多同事的支持和幫助��,在此一并致以誠摯的謝意�����。感謝所有關(guān)心����、支持、幫助過我的良師益友�。感謝參考文獻中的各位作者,真誠的感謝對我的幫助�。
最后,向在百忙中抽出時間對本文進行評審并提出寶貴意見的各位專家表示衷心地感謝����!
參考文獻
[1] 李軍義.計算機網(wǎng)絡(luò)技術(shù)與應(yīng)用[M].北京:北方交通大學(xué)出版社,2006.7.
[2] 蔡立軍.計算機網(wǎng)絡(luò)安全技術(shù)[M].北京:中國水利水電出版社,2005.
[3] 張嘉寧.網(wǎng)絡(luò)防火墻技術(shù)淺析[J].通信工程.2004(3).
[4] 鄭成興.網(wǎng)絡(luò)入侵防范的理論與實踐[M]. 北京:機械工業(yè)出版社�,2006.9.
[5] [美] Merike Kaeo 著.網(wǎng)絡(luò)安全性設(shè)計[M]. 北京:人民郵電出版社�,2005.9.
[6] 黃怡強,等.淺談軟件開發(fā)需求分析階段的主要任務(wù)[M].中山大學(xué)學(xué)報論叢,2002(01).
[7] 胡道元.計算機局域網(wǎng)[M].北京:清華大學(xué)出版社.2001.
[8] 朱理森,張守連.計算機網(wǎng)絡(luò)應(yīng)用技術(shù)[M].北京:專利文獻出版社����,2001.
[9] 謝希仁.計算機網(wǎng)絡(luò)(第4版)[M].北京:電子工業(yè)出版社,2003.
?
