计算机网络安全的研究与探讨.doc

1、XX师范大学 毕业论文 班 级_ XXXXXXXXXX _学 号_ XXXXXXXXXX _姓 名_ XXXXXXXX_设计指导教师_XXXXXXXX_ （完成日期）XXXX年XX月XX日目 录一、计算机网络安全21.1、何为计算机网络安全21.2、研究计算机网络安全的重要性21.3、研究计算机网络安全的目的3二、计算机网络安全的现状分析42.1、现今网络安全的情况介绍42.2、计算机网络现今所面临的威胁42.2.1、人为的无意失误42.2.2、人为的恶意攻击42.2.3、网络软件的漏洞和后门52.3、我国网络安全的表现52.4、制约我国网络安全的因素62.4.1、 缺乏自主的计算机网络和软件

2、核心技术62.4.2、 安全意识淡薄是网络安全的瓶颈62.4.3、 运行管理机制的缺陷和不足制约了安全防范的力度72.5、制约计算机网络安全的另一面软硬件自身问题82.5.1、计算机网络的脆弱性82.5.2、操作系统存在的安全问题82.5.3、 数据库存储的内容存在的安全问题112.5.4、 防火墙的脆弱性112.5.5、其他威胁11三、计算机网络安全的问题解决方案133.1、使用蜜罐技术133.2、使用网络隔离技术。143.3、大量使用数据加密技术。153.4、网络病毒的防范。153.5、运用防火墙技术。173.6、运用入侵检测技术193.6.1、如何运用入侵检测203.6.2入侵检测分类及

3、存在的问题203.7、安全服务223.8、完善不健全的网络安全管理体系。23四、计算机网络安全的发展方向和个人解决方案264.1、个人认为的发展方向264.2、研究计算机网络安全的个人成果27五、总结与展望29六、致谢30计算机网络安全的研究与探讨摘 要：当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。在信息时代，信息可以帮助团体或个人，使他们受益，同样，信息也可以用来对他们构成威胁，造成破坏。因此网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏

4、，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。在本文中，先研究了关于计算机网络的定义，从而说明什么是网络安全，接着分析我国现阶段乃至全世界现在计算机网络安全的具体情况，以及分析出现阶段存在该问题的原因，通过对种种存在的网络安全问题的深入分析，从而确定应该解决现在网络安全的各种技术和管理手段。通过对最新技术的归纳，提出个人的解决方案。关键字：网络安全体系 攻击 管理ABSTRACTWhen humans get into 21st century which is an information and network society. Our country wil

5、l set up an integral network security system, especially from policy and legal establishing a network security system with Chinese characteristic from policy and legal. In the information age , it can help groups or individuals to make them benefit. Also information can all be used to pose a threat

6、to them, causing destruction. Therefore network security including composition network system hardware, software and its information safety transfering over a network , and make it not be attacked to destroyed thanks to accidental or malicious. Network security both have technical problems, also hav

7、e management problems and two aspects affect each other, and cannot be lack of one.Key Words: Network security system、attacke、management30一、计算机网络安全1.1、何为计算机网络安全计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和罗辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。计算机网络安全不仅包

8、括组网的硬件、管理控制网络的软件，也包括共享的资源，快捷的网络服务，所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照ISO给出的计算机安全定义，认为计算机网络安全是指：“保护计算机网络系统中的硬件，软件和数据资源，不因偶然或恶意的原因遭到破坏、更改、泄露，使网络系统连续可靠性地正常运行，网络服务正常有序。”1.2、研究计算机网络安全的重要性从广义上来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业）等的角度来说，他们都希望凡是涉及到个人的隐私或是商业利益的信息

9、在网络上传输时能够得到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等非法手段去侵犯用户的利益和隐私问题。从网络运行者和管理者的角度来说，他们希望对本地网络信息的访问、读写等操作收到保护和控制，避免出现病毒、非法存取、拒绝服务和网络资源被非法占用和控制等威胁，制止和防御网络黑客的攻击。对安全保密部门来说，他们希望对非法的、有害的或者是涉及到国家机密的信息进行过滤和防堵，避免重要信息泄露，防止对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制和管理。1.3、研究计算机网络安全的目的随

10、着现在计算机网络的发展，随之出现种种网络问题不断的不断的威胁着国家利益以及个人利益。现在无论是网络病毒还是网络攻击等等手段层出不穷，让许许多多的地方或是个人蒙受了很大的损失，遂在本文中，希望通过对计算机网络安全的现状研究、所受到的威胁来源研究以及该如何去应对所面临并解决威胁的研究，从而能够为计算机网络安全这一块提供帮助，能够更有力的去解决网络安全现在所面临的威胁，从而最大限度的减少损失。二、计算机网络安全的现状分析2.1、现今网络安全的情况介绍互联网和网络应用以飞快的速度不断发展，网络应用日益普及并更加复杂化，网络安全问题是互联网和网络应用发展中面临的重要问题。网络攻击行为日趋复杂，各种方法相

11、互融合，使网络安全防御更加困难。黑客攻击行为组织性更强，攻击目标从单纯的追求荣耀感向获取多方面实际利益的方向转移（如：经济利益），网上木马、间谍程序、恶意网站、网络仿冒等的出现和日趋泛滥。手机、平板电脑等无线终端的处理能力和功能通用性提高，使其日趋接近个人计算机，从而针对这些无线终端的网络攻击已经开始不断出现，并将进一步发展。总之，网络安全问题变得更加错综复杂，影响将不断扩大，很难在短期内得到全面解决。现在网络安全问题已经摆在了非常重要的位置上，网络安全如果不加以防范和控制，会更加严重地影响到网络的应用使网络安全局势不断的恶化。2.2、计算机网络现今所面临的威胁计算机网络所面临的威胁是多方面的

12、，既包括对网络中信息的威胁，也包括对网络中设备的威胁，归结起来，主要有三点：2.2.1、人为的无意失误如操作员安全配置不当造成系统存在安全漏洞，用户安全意识不强，口令选择不慎，将自己的帐号随意转借他人或与别人共享等都会给网络安全带来威胁。2.2.2、人为的恶意攻击这也是目前计算机网络所面临的最大威胁，比如敌手的攻击和计算机犯罪都属于这种情况。2.2.3、网络软件的漏洞和后门任何一款软件都或多或少存在漏洞，这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。绝大部分网络入侵事件都是因为安全措施不完善，没有及时补上系统漏洞造成的。此外，软件公司的编程人员为便于维护而设置的软件后门也是不容忽视的巨大威胁，

13、一旦后门洞开，别人就能随意进入系统，后果不堪设想。2.3、我国网络安全的表现（1）计算机系统遭病毒和破坏的情况相当严重。据2001年调查，我国约73%的计算机用户曾感染病毒，2003年上半年上升至83%。其中，感染3次以上的用户高达59%。（2）电脑黑客活动已形成首要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性，从国内情况来看，目前我国95%与互联网相连的网络管理中心都遭到过境内外的黑客攻击或侵入，其中军事、金融、银行、证券机构是黑客攻击攻击的重点。在军事上，我国如国防部、成飞集团等军事机构或军事企业经常都会遭到来自很多地方的攻击。（3）信息基础设施面临网络安全的挑战。面对信息安全的

14、严峻形势，我国的网络安全系统在预测、反应、防范和恢复能力存在许多的薄弱环节，并且与发达国家相比仍有一定的差距。据英国简氏战略报告和其它网络组织对各国信息防护能力的评估，我国被列入防护能力最低的国家之一，不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。近年来，国内与网络有关的各类违法行为以每年30%的速度递增。据某市信息安全管理部门统计，2003年第1季度内，该市共遭受近37万次黑客攻击、2.1万次以上病毒入侵和57次信息系统瘫痪。该市某公司的镜像网站在10月份1个月内，就遭到从外部100多个IP地址发起的恶意攻击。（4）网络政治颠覆活动频繁。国内外反动势力利用互联网组党

15、结社，针对我国党和政府的非法组织，猖獗频繁，屡禁不止。尤其是一些非法组织有计划的通过网络渠道，宣传异教邪说，妄图扰乱人心，扰乱社会秩序。诸如，以达赖为首的藏独分子、在前段时间出现的“全能神”邪教组织，都在不断的通过网络，以到达他们的目的; “法轮功”非法组织就是在美国设网站，利用无国界的信息空间进行反政府活动。2.4、制约我国网络安全的因素当前，制约我国提高网络安全防御能力的主要因素有以下几方面。2.4.1、 缺乏自主的计算机网络和软件核心技术 我国信息化建设过程中缺乏自主技术支撑。计算机安全存在三大黑洞：CPU芯片、操作系统和数据库、网关软件大多依赖进口。信息安全专家、中国科学院高能物理研究

16、所研究员许榕生曾一针见血地点出我国信息系统的要害：“我们的网络发展很快，但安全状况如何？现在有很多人投很多钱去建网络，实际上并不清楚它只有一半根基，建的是没有防范的网。有的网络顾问公司建了很多网，市场布好，但建的是裸网，没有保护，就像房产公司盖了很多楼，门窗都不加锁就交付给业主去住。”我国计算机网络所使用的网管设备和软件基本上是舶来品，这些因素使我国计算机网络的安全性能大大降低，被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术，我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，网络安全处于极脆弱的状态。如CPU芯片，全球的最大的两家CPU芯片厂商AMD和因特尔都是美国企业；又诸如

17、操作系统，全球最好的几家公司出的操作系统UNIX、Linux、windows，全都是外国企业，没有一个是我国出产的；网络设备上，我国很多地方都是在采用美国思科公司的产品，然而国产的如华为、中兴等的用户却偏少，这就是导致了我国计算机网络安全性很差的部分原因。2.4.2、 安全意识淡薄是网络安全的瓶颈 目前，在网络安全问题上还存在不少认知盲区和制约因素。网络是新生事物，许多人一接触就忙着用于学习、工作和娱乐等，对网络信息的安全性无暇顾及，安全意识相当淡薄，对网络信息不安全的事实认识不足。与此同时，网络经营者和机构用户注重的是网络效应，对安全领域的投入和管理远远不能满足安全防范的要求。总体上来看，网

18、络信息安全处于被动的封堵漏洞状态，从上到下普遍存在侥幸心理，没有形成主动防范、积极应对的全民意识，更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。近年来，国家和各级职能部门在信息安全方面已做了大量努力，但就范围、影响和效果来讲，迄今所采取的信息安全保护措施和有关计划还不能从根本上解决目前的被动局面，整个信息安全系统在迅速反应、快速行动和预警防范等主要方面，缺少方向感、敏感度和应对能力。 2.4.3、 运行管理机制的缺陷和不足制约了安全防范的力度 运行管理是过程管理，是实现全网络安全和动态安全的关键。有关信息安全的政策、计划和管理手段等最终都会在运行管理机制上体现出来。就目前的运行管理机

19、制来看，有以下几方面的缺陷和不足。 1.网络安全管理方面人才匮乏：由于互联网通信成本极低，分布式客户服务器和不同种类配置不断出新和发展。按理，由于技术应用的扩展，技术的管理也应同步扩展，但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。信息安全技术管理方面的人才无论是数量还是水平，都无法适应信息安全形势的需要。 2.安全措施不到位：互联网越来越具有综合性和动态性特点，这同时也是互联网不安全因素的原因所在。然而，网络用户对此缺乏认识，未进入安全就绪状态就急于操作，结果导致敏感数据暴露，使系统遭受风险。配置不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷，如果缺

20、乏周密有效的安全措施，就无法发现和及时查堵安全漏洞。当厂商发布补丁或升级软件来解决安全问题时，许多用户的系统不进行同步升级，原因是管理者未充分意识到网络不安全的风险所在，未引起重视。 3.缺乏综合性的解决方案：面对复杂的不断变化的互联网世界，大多数用户缺乏综合性的安全管理解决方案，稍有安全意识的用户越来越依赖“银弹”方案(如防火墙和加密技术)，但这些用户也就此产生了虚假的安全感，渐渐丧失警惕。实际上，一次性使用一种方案并不能保证系统一劳永逸和高枕无忧，网络安全问题远远不是防毒软件和防火墙能够解决的，也不是大量标准安全产品简单碓砌就能解决的。2.5、制约计算机网络安全的另一面软硬件自身问题2.5

21、.1、计算机网络的脆弱性互联网是对全世界都开放的网络，任何单位或个人都可以在网上方便地传输和获取各种信息，互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。互联网的不安全性主要有以下几项： 1）网络的开放性，网络的技术是全开放的，使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击，或是来自对网络通信协议的攻击，以及对计算机软件、硬件的漏洞实施攻击。 2）网络的国际性，意味着对网络的攻击不仅是来自于本地网络的用户，还可以是互联网上其他国家的黑客，所以，网络的安全面临着国际化的挑战。 3）网络的自由性，大多数的网络对用户的使用没有技术上的约束，用户可以自由的上网，发布

22、和获取各类信息。2.5.2、操作系统存在的安全问题操作系统是作为一个支撑软件，使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能，主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性，系统开发设计的不周而留下的破绽，都给网络安全留下隐患。2.5.2.1、操作系统功能上的脆弱性 1）操作系统结构体系的缺陷。操作系统本身有内存管理、CPU 管理、外设的管理，每个管理都涉及到一些模块或程序，如果在这些程序里面存在问题，比如内存管理的问题，外部网络的一个连接过来，刚好连接一个有缺陷的模块，可能出现的情况是，计算机系统会因此崩溃。所以，有些黑客往往是针对操作系统的

23、不完善进行攻击，使计算机系统，特别是服务器系统立刻瘫痪。 2）操作系统支持在网络上传送文件、加载或安装程序，包括可执行文件，这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能，比如FTP，这些安装程序经常会带一些可执行文件，这些可执行文件都是人为编写的程序，如果某个地方出现漏洞，那么系统可能就会造成崩溃。像这些远程调用、文件传输，如果生产厂家或个人在上面安装间谍程序，那么用户的整个传输过程、使用过程都会被别人监视到，所有的这些传输文件、加载的程序、安装的程序、执行文件，都可能给操作系统带来安全的隐患。所以，建议尽量少使用一些来历不明，或者无法证明它的安全性的软件。 3）操作系统不

24、安全的一个原因在于它可以创建进程，支持进程的远程创建和激活，支持被创建的进程继承创建的权利，这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上，特别是“打”在一个特权用户上，黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。 4）操作系统有些守护进程，它是系统的一些进程，总是在等待某些事件的出现。所谓守护进程，比如说用户有没按键盘或鼠标，或者别的一些处理。一些监控病毒的监控软件也是守护进程，这些进程可能是好的，比如防病毒程序，一有病毒出现就会被扑捉到。但是有些进程是一些病毒，一碰到特定的情况，比如碰到7 月1 日，它就会把用户的硬

25、盘格式化，这些进程就是很危险的守护进程，平时它可能不起作用，可是在某些条件发生，比如7 月1 日，它才发生作用，如果操作系统有些守护进程被人破坏掉就会出现这种不安全的情况。 5）操作系统会提供一些远程调用功能，所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序，可以提交程序给远程的服务器执行，如telnet。远程调用要经过很多的环节，中间的通讯环节可能会出现被人监控等安全的问题。 6）操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段，程序员利用软件的后门程序得以便利修改程序设计中的不足。一旦后门被黑客利用，或在发布软件前没有删

26、除后门程序，容易被黑客当成漏洞进行攻击，造成信息泄密和丢失。此外，操作系统的无口令的入口，也是信息安全的一大隐患。 7） 尽管操作系统的漏洞可以通过版本的不断升级来克服， 但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。当发现问题到升级这段时间，一个小小的漏洞就足以使你的整个网络瘫痪掉。2.5.2.2、操作系统结构的脆弱性动态联接。为了系统集成和系统扩充的需要，操作系统采用动态联接结构，系统的服务和I/O操作都可以补丁方式进行升级和动态联接。这种方式虽然为厂商和用户提供了方便，但同时也为黑客提供了入侵的方便(漏洞),这种动态联接也是计算机病毒产生的温床。创建进程。操作系统可以创建进

27、程，而且这些进程可在远程节点上被创建与激活，更加严重的是被创建的进程又可以继续创建其他进程。这样，若黑客在远程将“间谍”程序以补丁方式附在合法用户，特别是超级用户上，就能摆脱系统进程与作业监视程序的检测。空口令和RPC。操作系统为维护方便而预留的无口令入口和提供的远程过程调用(RPC)服务都是黑客进入系统的通道。超级用户。操作系统的另一个安全漏洞就是存在超级用户，如果入侵者得到了超级用户口令，整个系统将完全受控于入侵者。2.5.3、 数据库存储的内容存在的安全问题数据库管理系统大量的信息存储在各种各样的数据库里面，包括我们上网看到的所有信息，数据库主要考虑的是信息方便存储、利用和管理，但在安全

28、方面考虑的比较少。例如：授权用户超出了访问权限进行数据的更改活动；非法用户绕过安全内核，窃取信息。对于数据库的安全而言，就是要保证数据的安全可靠和正确有效，即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取；数据库的完整性是防止数据库中存在不符合语义的数据。由于数据集库管理系统对数据库的管理是建立在分级管理的概念上，因此，DBMS的安全必须与操作系统的安全配套，这无疑是一个先天的不足之处。黑客通过探访工具可强行登录或越权使用数据库数据，可能会带来巨大损失；数据加密往往与DBMS的功能发生冲突或影响数据库的运行效率。由于服务器/浏览器(B/S)结构中的应用程序直接对数据库进行

29、操作，所以，使用B/S结构的网络应用程序的某些缺陷可能威胁数据库的安全。2.5.4、 防火墙的脆弱性 防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合，使Internet 与Intranet 之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。 但防火墙只能提供网络的安全性，不能保证网络的绝对安全，它也难以防范网络内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁，但是却不能防止从LAN 内部的攻击，若是内部的人和外部

30、的人联合起来，即使防火墙再强，也是没有优势的。它甚至不能保护你免受所有那些它能检测到的攻击。随着技术的发展，还有一些破解的方法也使得防火墙造成一定隐患。这就是防火墙的局限性。2.5.5、其他威胁2.5.5.1、计算机系统本身的脆弱性计算机系统的硬件和软件故障可影响系统的正常运行，严重时系统会停止工作。系统的硬件故障通常有硬件故障、电源故障、芯片主板故障、驱动器故障等；系统的软件故障通常有操作系统故障、应用软件故障和驱动程序故障等。2.5.5.2、电磁泄漏计算机网络中的网络端口、传输线路和各种处理机都有可能因屏蔽不严或未屏蔽而造成电磁信息辐射，从而造成有用信息甚至机密信息泄漏。2.5.5.3、数

31、据的可访问性进入系统的用户可方便地复制系统数据而不留任何痕迹；网络用户在一定的条件下，可以访问系统中的所有数据，并可将其复制、删除或破坏掉。2.5.5.4、通信系统和通信协议的弱点网络系统的通信线路面对各种威胁显得非常脆弱，非法用户可对线路进行物理破坏、搭线窃听、通过未保护的外部线路访问系统内部信息等。通信协议TCP/IP及FTP、E-mail、NFS、WWW等应用协议都存在安全漏洞，如FTP的匿名服务浪费系统资源；E-mail中潜伏着电子炸弹、病毒等威胁互联网安全；WWW中使用的通用网关接口（CGI）程序、Java Applet程序和SSI等都可能成为黑客的工具；黑客可采用Sock、TCP预

32、测或远程访问直接扫描等攻击防火墙。2.5.5.5、网络存储介质的脆弱各种存储器中存储大量的信息，这些存储介质很容易被盗窃或损坏，造成信息的丢失；存储器中的信息也很容易被复制而不留痕迹。此外，网络系统的脆弱性还表现为保密的困难性、介质的剩磁效应和信息的聚生性等。三、计算机网络安全的问题解决方案在现今计算机网络高速发展的时候，要解决网络的安全问题，须要采用最新的技术以及完善的管理，并且解决网络安全问题，不是单纯的去修补漏洞，被动的去拦截攻击行为，而是要化被动为主动，将可能出现的安全问题抹杀在摇篮之中。如最新的一种技术蜜罐技术。3.1、使用蜜罐技术蜜罐好比是情报收集系统。蜜罐好像是故意让人攻击的目标

33、，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对贵公司服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。3.2、使用网络隔离技术。网络隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。网络隔离，英文名为Network Isolation，主要是指把两个或两个以上可路由的网络（如：TCP/IP）通过不可路由的协议（如：IPX/SPX等）进行数据交换而达到

34、隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离。1997年，信息安全专家Mark Joseph Edwards在他编写的Understanding Network Security一书中，他就对协议隔离进行了归类。在书中他明确地指出了协议隔离和防火墙不属于同类产品。该隔离协议与防火墙不同，要使具有高度的自身安全性隔离产品要保证自身具有高度的安全性，至少在理论和实践上要比防火墙高出一个安全级别。从技术实现上，除了和防火墙一样对操作系统进行加固优化或采用安全操作系统外，关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成，一套控制着外网的接口，

35、另一套控制着内网的接口，然后在两套主机系统之间通过不可路由的协议进行数据交换，如此，既便是黑客攻破了外网系统，仍然无法控制内网系统，就达到了更高的安全级别。要确保网络之间是隔离的关键是网络包不可路由到对方网络，无论中间采用了什么转换方法，只要最终使得一方的网络包能够进入到对方的网络中，都无法称之为隔离，即达不到隔离的效果。显然，只是对网间的包进行转发，并且允许建立端到端连接的防火墙，是没有任何隔离效果的。此外，那些只是把网络包转换为文本，交换到对方网络后，再把文本转换为网络包的产品也是没有做到隔离的。要保证网间交换的只是应用数据既然要达到网络隔离，就必须做到彻底防范基于网络协议的攻击，即不能够

36、让网络层的攻击包到达要保护的网络中，所以就必须进行协议分析，完成应用层数据的提取，然后进行数据交换，这样就把诸如Land、Smurf和SYN Flood等网络攻击包，彻底地阻挡在了可信网络之外，从而明显地增强了可信网络的安全性。使用该项技术后，笔者认为将能够大大的增强计算机网络抗攻击的能力，使网络能够得到有效的保护，从而也减轻了防火墙以及路由器等等的具有防御性的网络设备的压力。3.3、大量使用数据加密技术。数据加密技术就是对信息进行重新编码，从而隐藏信息内容，使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要手

37、段之一。数据加密技术按作用不同可分为数据存储，数据传输、数据完整性的鉴别，以及密钥的管理技术。数据存储加密技术是防止在存储环节上的数据丢失为目的，可分为密文存储和存取两种，数据传输加密技术的目的是对传输中的数据流加密。数据完整性鉴别是对介入信息的传送、存取，处理人的身份和相关数据内容进行验证，达到保密的要求，系统通过对比验证对输入的特征值是否符合预先设定的参数，实现对数据的安全保护。3.4、网络病毒的防范。在网络环境下，病毒传播扩散快，仅用单机防病毒产品已经很难彻底清除网络病毒，必须有适合于局域网的全方位防病毒产品。学校、政府机关、企事业单位等网络一般是内部局域网，就需要一个基于服务器操作系统

38、平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连，就需要网关的防病毒软件，加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换，还需要一套基于邮件服务器平台的邮件防病毒软件，识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，通过全方位、多层次的防病毒系统的配置，通过定期或不定期的自动升级，及时为每台客户端计算机打好补丁，加强日常监测，使网络免受病毒的侵袭。安装病毒防病毒的软件,如 ：卡巴斯基，金山毒霸,360杀毒等等。定期检测电脑防止被攻击。构建全球化的信息网络平台已经成为了当今计算机网络发展的共

39、识，实现这一目标的最根本支撑点，就是强大的网络安全保障，因此，针对各种安全隐患而采取的网络安全对策显得尤为重要，应当引起广大信息使用者的广泛关注。无论是在局域网还是因特网都同样存在信息数据的保护问题，在人为因素与技术因素的干扰下，如何实现信息数据的最大化安全成为计算机网络安全技术发展的根本出发点。计算机网络安全对策应当更加全方位的针对各种安全隐患，并充分考虑到各种威胁的特点来实施，这样才能够实现我们保护网络信息数据完整性、可用性与保密性的目标，随着网络安全技术的进步而不断继续完善，是我们今后将继续探讨的核心之一。3.5、运用防火墙技术。图 13防火墙是目前最为流行、使用最广泛的一种网络安全技术

40、，它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。防火墙的最大优势就在于可以对两个网络之间的访问策略进行控制，限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。它具有以下特性：所有的从内部到外部或从外部到内部的通信都必须经过它；只有内部访问策略授权的通信才允许通过；系统本身具有高可靠性。不仅如此，防火墙作为网络安全的监视点，它还可以记录所有通过它的访问，并提供统计数据，提供预警和审计功能。防火墙的体系结构有三种：（1）双重宿主主机体系结构。它是围绕具有双重宿主功能的主机而构筑的，是最基本的防火墙结构。主机充当路由器，是内外网络的接口，能够从一个网络向另一

41、个网络发送IP数据包。这种类型的防火墙完全依赖于主机，因此该主机的负载一般较大，容易成为网络瓶颈。对于只进行IP层过滤的安全要求来说，只需在两块网卡之间转发的模块上插入对IP包的ACL控制即可。但是如果要对应用层进行代理控制，其代理就要设置到这台双宿主主机上，所有的应用要先于这个主机进行连接。这样每个人都需要有一个登录账号，增加了联网的复杂性。（2）屏蔽主机体系结构，又称主机过滤结构，它使用一个单独的路由器来提供内部网络主机之间的服务，在这种体系结构中，主要的安全机制由数据包过滤系统来提供。相对于双重宿主主机体系结构，这种结构允许数据包从Internet上进入内部网络，因此对路由器的配置要求较

42、高。（3）屏蔽子网体系结构。它是在屏蔽主机体系结构基础上添加额外的安全层，并通过添加周边网络更进一步把内部网络和Internet隔离开。为此这种结构需要两个路由器，一个位于周边网络和内部网络之间，另一个在周边网络和外部网络之间，这样黑客即使攻破了堡垒主机，也不能直接入侵内部网络，因为他还需要攻破另外一个路由器。用防火墙来实现网络安全必须考虑防火墙的网络拓扑结构： （1）屏蔽路由器：又称包过滤防火墙。 （2）双穴主机：双穴主机是包过滤网关的一种替代。 （3）主机过滤结构：这种结构实际上是包过滤和代理的结合。 （4）屏蔽子网结构：这种防火墙是双穴主机和被屏蔽主机的变形。 根据防火墙所采用的技术不同

43、,我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、代理型和监测型。 防火墙无论是在企业还是政府或是其他机构都是必须要的，在现在网络攻击手段不断多样化，不断的频繁化的时候，都需要它来作为防范网络漏洞、阻止黑客网络攻击的必要网络设备，包过滤防火墙、状态/动态检测防火墙、应用程序代理防火墙、NAT是防火墙的四种类型，现在有很多厂商开发的防火墙，特别是状态/动态检测防火墙，除了它们应该具有的功能之外也提供了NAT的功能。3.6、运用入侵检测技术 图 14入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础

44、结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为 是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现： 1监视、分析用户及系统活动； 2系统构造和弱点的审计； 3识别反映已知进攻的活动模式并向相关人士报警； 4异常行为模式的统计分析； 5评估重要系统和数据文件的完整性； 6 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 3.6.1、如何运用入侵检测入侵检测分为三个步骤：（1）信息收集：入侵检测的第

45、一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。（2）信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。（3）结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。入侵检测是通过从计算机网络系

46、统中的若干关键点收集信息并对其进行分析 ，从中发现违反安全策略的行为和遭到攻击的迹象，并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵，在可能造成系统损坏或数据丢失之前，识别并驱除入侵者，使系统迅速恢复正常工作，并且阻止入侵者进一步的行动，同时，收集有关入侵的技术资料，用于改进和增强系统抵抗入侵的能力。入侵检测可分为基于主机型、基于网络型、基于代理型三类。3.6.2入侵检测分类及存在的问题入侵检测

47、通过对入侵和攻击行为的检测，查出系统的入侵者或合法用户对系统资源的滥用和误用。根据不同的检测方法，将入侵检测分为异常入侵检测(Anomaly Detection)和误用人侵检测(Misuse Detection)。异常检测又称为基于行为的检测。首先建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测，是一种间接的检测方法。常用的具体方法有：统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。采用异常检测的关键问题有如下两个方面：（1）特征量的选择在建立系统或用户的行为特征轮廓的正常模型时，选取的特征量既要能准确地体现系统或用户的行为特征，又能使模型最优化，即以最少的特征量就能涵盖系统或用户的行为特征。（2）参考阈值的选定由于异常检测是以正常的特征轮廓作为比较的参考基准，因此，参考阈值的选定是非常关键的。阈值设定得过大，那漏警率会很高；阈值设定的过小，则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。由此可见，异常检测技术难