緒論：寫作既是個(gè)人情感的抒發(fā)，也是對(duì)學(xué)術(shù)真理的探索，歡迎閱讀由發(fā)表云整理的11篇安全網(wǎng)絡(luò)論文范文，希望它們能為您的寫作提供參考和啟發(fā)。

篇（1）

1.1設(shè)備依賴性。

不同于過往的檔案記載，信息化的檔案資料再也不是一支筆、一份紙記錄的過程，從輸入到輸出都是經(jīng)由計(jì)算機(jī)與其輔助設(shè)備實(shí)現(xiàn)，管理與傳輸也都依賴各種軟件與網(wǎng)絡(luò)資源共享，信息處理速度與質(zhì)量在某些程度上依賴于計(jì)算機(jī)的性能與軟件的適應(yīng)性。

1.2易控性和可變性。

信息化的檔案資料一般是以通用的文檔、圖片、視頻、音頻等形式儲(chǔ)存下來，這給信息共享帶來了便利，但也增加了檔案資料的易控性和可變性，對(duì)于文檔資料可以通過office工具刪除修改文字、對(duì)于圖片資料可以通過photoshop輕易地改變其原有的面貌、對(duì)于音頻和視頻資料可以通過adobeaudition和premiere工具的剪輯變成完全不同的模樣，這些都造成了檔案信息易丟失的現(xiàn)象。

1.3復(fù)雜性。

檔案信息量不斷增加、信息存儲(chǔ)形式也變得豐富多樣，不僅有前文所述的文檔、圖像、視頻、音頻等形式，不同格式之間的信息資料還可以相互轉(zhuǎn)換，如視頻與圖片、文字與圖片的轉(zhuǎn)換等等，進(jìn)一步增加了檔案信息的復(fù)雜性。

2目前網(wǎng)絡(luò)環(huán)境下檔案信息安全管理存在的問題

2.1網(wǎng)絡(luò)環(huán)境下檔案信息安全問題的特性。

檔案信息化有其顯著特征，在此基礎(chǔ)上的檔案信息安全問題屬性也發(fā)生了較大變化。首先表現(xiàn)在信息共享的無邊界性，發(fā)達(dá)的網(wǎng)絡(luò)技術(shù)使得整個(gè)世界變成一張巨大的網(wǎng)，上傳的信息即使在大洋彼岸也能及時(shí)查看，一旦信息泄露，傳播的范圍廣、造成的危害難以估量。同時(shí)，在某種程度上檔案信息化系統(tǒng)也存在著脆弱性問題，計(jì)算機(jī)病毒可以入侵系統(tǒng)的眾多組成部分，而任何一部分被攻擊都可能造成整個(gè)系統(tǒng)的崩潰。此外，網(wǎng)絡(luò)安全問題還存在一定的隱蔽性，無需面對(duì)面交流，不用對(duì)話溝通，只需打開一個(gè)網(wǎng)頁或是鼠標(biāo)輕輕點(diǎn)擊，信息就會(huì)在極短時(shí)間內(nèi)被竊取，造成嚴(yán)重后果。

2.2網(wǎng)絡(luò)環(huán)境下檔案信息安全面臨的主要問題。

1）檔案信息化安全意識(shí)薄弱。很多情況下，檔案信息被竊取或損壞并不是因?yàn)槿肭终呤侄胃呙鳎菣n案信息管理系統(tǒng)自身安全漏洞過多，其本質(zhì)原因是檔案信息管理安全意識(shí)不夠。受傳統(tǒng)檔案管理觀念的桎梏、自身技術(shù)水平的限制，很多管理人員并未將檔案信息看作極為重要的資源，對(duì)相關(guān)資料處理的隨意性大，也無法覺察到潛在的風(fēng)險(xiǎn)，日常操作管理不規(guī)范，增加了檔案安全危機(jī)發(fā)生的可能性。

2）檔案信息化安全資金投入不夠。現(xiàn)代信息環(huán)境復(fù)雜多變，數(shù)據(jù)量急劇增加，信息管理難度也越來越大，對(duì)各種硬件、軟件設(shè)備的要求也進(jìn)一步提高，需要企業(yè)在檔案信息管理方面投入更多的人力、物力，定期檢查系統(tǒng)漏洞。而就目前情況而言，大部分企業(yè)在這方面投入的資源還遠(yuǎn)遠(yuǎn)達(dá)不到要求，檔案信息管理的安全性得不到有效保障。

3）檔案信息化安全技術(shù)問題。技術(shù)問題首先表現(xiàn)在互聯(lián)網(wǎng)自身的開放性特征中，互聯(lián)網(wǎng)的基石是TCP/IP協(xié)議，以效率和及時(shí)溝通性為第一追求目標(biāo)，必然會(huì)導(dǎo)致安全性的犧牲，諸如E-mail口令與文件傳輸?shù)炔僮骱苋菀妆槐O(jiān)聽，甚至于不經(jīng)意間計(jì)算機(jī)就會(huì)被遠(yuǎn)程操控，許多服務(wù)器都存在可被入侵者獲取最高控制權(quán)的致命漏洞。此外，網(wǎng)絡(luò)環(huán)境資源良莠不齊，許多看似無害的程序中夾雜著計(jì)算機(jī)病毒代碼片段，隱蔽性強(qiáng)、傳染性強(qiáng)、破壞力大，給檔案信息帶來了嚴(yán)重威脅。

3網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)檔案信息安全保障原則

3.1檔案信息安全的絕對(duì)性與相對(duì)性。

檔案信息安全管理工作的重要性是無需置疑的，是任何企業(yè)特別是握有核心技術(shù)的大型企業(yè)必須注重的問題，然而，檔案信息管理并沒有一勞永逸的方法，與傳統(tǒng)檔案一樣，不存在絕對(duì)的安全保障，某一時(shí)期看起來再完善的系統(tǒng)也會(huì)存在不易發(fā)現(xiàn)的漏洞，隨著科技的不斷發(fā)展，會(huì)愈來愈明顯地暴露出來。同時(shí)，檔案信息安全維護(hù)技術(shù)也沒有絕對(duì)的優(yōu)劣之分，根據(jù)實(shí)際情況的需求，簡(jiǎn)單的技術(shù)可能性價(jià)比更高。

3.2管理過程中的技術(shù)與非技術(shù)因素。

檔案信息管理工作不是單一的網(wǎng)絡(luò)技術(shù)維護(hù)人員工作，也不是管理人員的獨(dú)角戲，而需要技術(shù)與管理的有機(jī)結(jié)合。檔案管理人員可以不具備專業(yè)網(wǎng)絡(luò)技術(shù)人才的知識(shí)儲(chǔ)備量，但一定要具備發(fā)現(xiàn)安全問題的感知力與責(zé)任心，對(duì)于一些常見入侵跡象要了然于心，對(duì)于工作中出現(xiàn)的自身無法解決的可疑現(xiàn)象應(yīng)及時(shí)通知更專業(yè)的技術(shù)人員查看。可根據(jù)企業(yè)實(shí)際情況建立完善的檔案安全管理機(jī)制，充分調(diào)動(dòng)各部門員工的力量，以系統(tǒng)性、全面性的理念去組織檔案信息管理工作。

4網(wǎng)絡(luò)環(huán)境下檔案信息安全管理具體保障方法

4.1建立制度屏障。

完善的制度是任何工作順利進(jìn)行的前提與基礎(chǔ)，對(duì)于復(fù)雜網(wǎng)絡(luò)環(huán)境下的檔案信息安全管理工作來說更是如此。在現(xiàn)今高度發(fā)達(dá)的信息背景下，檔案管理再不是鎖好一扇門、看好一臺(tái)計(jì)算機(jī)的簡(jiǎn)單工作，而是眾多高新技術(shù)的集合體，因此，做好檔案信息安全管理工作首先要加強(qiáng)安全意識(shí)的宣傳，包括保密意識(shí)教育與信息安全基礎(chǔ)教育，加強(qiáng)檔案管理人員特別是技術(shù)操作人員的培訓(xùn)工作。同時(shí)，應(yīng)注重責(zé)任制度的落實(shí)，詳細(xì)規(guī)定庫房管理、檔案借閱、鑒定、銷毀等責(zé)任分配，詳細(xì)記錄檔案管理培訓(xùn)與考核工作、記錄進(jìn)出檔案室的人員信息，具體工作落實(shí)到人。在實(shí)際操作中，應(yīng)嚴(yán)格記錄每一個(gè)操作步驟，將檔案接收、借閱、復(fù)制等過程完整、有條理地編入類目中，以便日后查閱。

4.2建立技術(shù)屏障。

網(wǎng)絡(luò)環(huán)境下的信息安全技術(shù)主要體現(xiàn)在通信安全技術(shù)和計(jì)算機(jī)安全技術(shù)兩個(gè)方面。

1）通信安全技術(shù)。通信安全技術(shù)應(yīng)用于檔案資料的傳輸共享過程中，可分為加密、確認(rèn)與網(wǎng)絡(luò)控制技術(shù)等幾大類。其中，信息加密技術(shù)是實(shí)現(xiàn)檔案信息安全管理的關(guān)鍵，通過各種不同的加密算法實(shí)現(xiàn)信息的抽象化與無序化，即使被劫持也很難辨認(rèn)出原有信息，這種技術(shù)性價(jià)比高，較小的投入便可獲得較高的防護(hù)效果。檔案信息確認(rèn)技術(shù)是通過限制共享范圍達(dá)到安全性要求，每一個(gè)用戶都掌握著識(shí)別檔案信息是否真實(shí)的方案，而不法接收者難以知曉方案的實(shí)際內(nèi)容，從而預(yù)防信息的偽造、篡改行為。

2）計(jì)算機(jī)安全技術(shù)。從計(jì)算機(jī)安全角度入手，可采用芯片卡識(shí)別制度，每一名合法使用者的芯片卡微處理機(jī)內(nèi)記錄特有編號(hào)，只有當(dāng)編號(hào)在數(shù)據(jù)庫范圍內(nèi)時(shí)方可通過認(rèn)證，防止檔案信息經(jīng)由計(jì)算機(jī)存儲(chǔ)器被竊的現(xiàn)象發(fā)生。同時(shí)，應(yīng)加強(qiáng)計(jì)算機(jī)系統(tǒng)的防火墻設(shè)計(jì)，注意查找系統(tǒng)漏洞。

篇（2）

（1）個(gè)人信息的泄露。在網(wǎng)絡(luò)工程當(dāng)中，對(duì)于系統(tǒng)硬件、軟件的相關(guān)維護(hù)工作還不夠完善，同時(shí)網(wǎng)絡(luò)通信當(dāng)中的許多登錄系統(tǒng)需要借助遠(yuǎn)程終端來完成，造成系統(tǒng)遠(yuǎn)程終端和網(wǎng)絡(luò)用戶在用戶運(yùn)用互聯(lián)網(wǎng)進(jìn)入對(duì)應(yīng)系統(tǒng)時(shí)存在長遠(yuǎn)的連接點(diǎn)，當(dāng)信息在進(jìn)行傳輸時(shí)，這些連接點(diǎn)很容易引起黑客對(duì)用戶的入侵以及攻擊，使得用戶信息被泄露，個(gè)人信息安全得不到保障。

（2）網(wǎng)絡(luò)通信結(jié)構(gòu)不完善。網(wǎng)間網(wǎng)的技術(shù)給網(wǎng)絡(luò)通信提供了技術(shù)基礎(chǔ)，用戶通過IP協(xié)議或TCP協(xié)議得到遠(yuǎn)程授權(quán)，登錄相關(guān)互聯(lián)網(wǎng)系統(tǒng)，通過點(diǎn)與點(diǎn)連接的方式來進(jìn)行信息的傳輸。然而，網(wǎng)絡(luò)結(jié)構(gòu)間卻是以樹狀形式進(jìn)行連接的，當(dāng)用戶受到黑客入侵或攻擊時(shí)，樹狀結(jié)構(gòu)為黑客竊聽用戶信息提供了便利。

（3）相關(guān)網(wǎng)絡(luò)維護(hù)系統(tǒng)不夠完善。網(wǎng)絡(luò)維護(hù)系統(tǒng)的不完善主要表現(xiàn)軟件系統(tǒng)的安全性不足，我們現(xiàn)在所使用的計(jì)算機(jī)終端主要是依靠主流操作系統(tǒng)，在長時(shí)間的使用下需下載一些補(bǔ)丁來對(duì)系統(tǒng)進(jìn)行相關(guān)的維護(hù)，導(dǎo)致了軟件的程序被泄露。

2對(duì)于網(wǎng)絡(luò)通信中存在的信息安全問題的應(yīng)對(duì)方案

對(duì)于上述的種種網(wǎng)絡(luò)通信當(dāng)中存在的信息安全問題，我們應(yīng)當(dāng)盡快地采取有效的對(duì)策，目前主要可以從以下幾個(gè)方面入手：

（1）用戶應(yīng)當(dāng)保護(hù)好自己的IP地址。黑客入侵或攻擊互聯(lián)網(wǎng)用戶的最主要目標(biāo)。在用戶進(jìn)行網(wǎng)絡(luò)信息傳輸時(shí)，交換機(jī)是進(jìn)行信息傳遞的重要環(huán)節(jié)，因此，用戶可以利用對(duì)網(wǎng)絡(luò)交換機(jī)安全的嚴(yán)格保護(hù)來保證信息的安全傳輸。除此之外，對(duì)所使用的路由器進(jìn)行嚴(yán)格的控制與隔離等方式也可以加強(qiáng)用戶所使用的IP地址的安全。

（2）對(duì)信息進(jìn)行加密。網(wǎng)絡(luò)通信中出現(xiàn)的信息安全問題主要包括信息的傳遞以及存儲(chǔ)過程當(dāng)中的安全問題。在這兩個(gè)過程當(dāng)中，黑客通過竊聽傳輸時(shí)的信息、盜取互聯(lián)網(wǎng)用戶的相關(guān)資料、對(duì)信息進(jìn)行惡意的篡改、攔截傳輸過程中的信息等等多種方法來對(duì)網(wǎng)絡(luò)通信當(dāng)中信息的安全做出威脅。互聯(lián)網(wǎng)用戶如果在進(jìn)行信息傳遞與存儲(chǔ)時(shí)，能夠根據(jù)具體情況選用合理的方法來對(duì)信息進(jìn)行嚴(yán)格的加密處理，那么便可以有效地防治這些信息安全問題的產(chǎn)生。

（3）完善身份驗(yàn)證系統(tǒng)。身份驗(yàn)證是互聯(lián)網(wǎng)用戶進(jìn)行網(wǎng)絡(luò)通信的首要步驟。在進(jìn)行身份驗(yàn)證時(shí)一般都需要同時(shí)具備用戶名以及密碼才能完成登錄。在驗(yàn)證過程當(dāng)中用戶需要注意的是要盡量將用戶名、密碼分開儲(chǔ)存，可以適當(dāng)?shù)厥褂靡淮涡悦艽a，同時(shí)還可以利用安全口令等方法來保證身份驗(yàn)證的安全。隨著科技的快速發(fā)展，目前一些指紋驗(yàn)證、視網(wǎng)膜驗(yàn)證等先進(jìn)生物檢測(cè)方法也慢慢得到了運(yùn)用，這給網(wǎng)絡(luò)通信信息安全提供了極大的保障。

篇（3）

這方面的威脅主要和計(jì)算機(jī)網(wǎng)絡(luò)關(guān)口安全設(shè)置以及內(nèi)部系統(tǒng)漏洞的修復(fù)有著直接的關(guān)系。就目前而言，我們使用的很多計(jì)算機(jī)軟件本身都是具有安全漏洞的，這些漏洞的存在會(huì)遭到黑客的攻擊。如果網(wǎng)絡(luò)設(shè)備本身不夠規(guī)范也會(huì)給計(jì)算機(jī)的安全造成嚴(yán)重的威脅，特別是進(jìn)行內(nèi)部局域網(wǎng)端口設(shè)置的時(shí)候，必須重視權(quán)限方面的設(shè)置，不斷的提高用戶本身的安全意識(shí)。新形式下的網(wǎng)絡(luò)管理安全技術(shù)分析文/劉瑛隨著科技和計(jì)算機(jī)技術(shù)的不斷發(fā)展，在我們的生活和工作中，網(wǎng)絡(luò)已經(jīng)成為了非常重要的組成部分，但是計(jì)算機(jī)的安全問題也與之俱來。在我們進(jìn)行計(jì)算機(jī)管理的時(shí)候，各種安全隱患也層出不窮。本文主要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)管理中存在的安全問題進(jìn)行分析，并根據(jù)問題的癥結(jié)找到了一些措施，希望能夠提高計(jì)算機(jī)網(wǎng)絡(luò)管理的安全性。摘要

1.2第三方網(wǎng)絡(luò)攻擊

此處的第三方網(wǎng)絡(luò)攻擊，一般指的是計(jì)算機(jī)病毒、木馬植入以及黑客的攻擊等等。不法分子利用木馬能夠侵入計(jì)算機(jī)系統(tǒng)中去，破壞計(jì)算機(jī)內(nèi)部的程序，而用戶卻很難察覺到。計(jì)算機(jī)病毒的生命力非常的頑強(qiáng)，并且隨著計(jì)算機(jī)的進(jìn)步和發(fā)展，病毒也在不斷的更新。此外，計(jì)算機(jī)病毒有著隱蔽性、傳播性以及破壞性的特征，都給計(jì)算機(jī)造成了非常大的威脅。

2計(jì)算機(jī)網(wǎng)絡(luò)管理以及安全技術(shù)

在人們應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)的時(shí)候，安全問題是不得不考慮的一個(gè)重要問題，只有做好網(wǎng)絡(luò)安全管理，才能夠保證人們?cè)谑褂糜?jì)算機(jī)網(wǎng)絡(luò)的時(shí)候，信息是相對(duì)安全的，而做好計(jì)算機(jī)網(wǎng)絡(luò)安全管理，也是計(jì)算機(jī)專業(yè)人才的一個(gè)重要責(zé)任。

2.1對(duì)網(wǎng)絡(luò)安全保障措施進(jìn)行完善，確保其是完整的

計(jì)算機(jī)網(wǎng)絡(luò)本身并不是獨(dú)立存在的，其是一個(gè)完整的系統(tǒng)，所以在采取措施進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)的時(shí)候必須考慮到計(jì)算機(jī)系統(tǒng)本身的整體性，采取措施確保網(wǎng)絡(luò)安全保障本身是完整的，這就需要做好各個(gè)環(huán)節(jié)的安全維護(hù)工作，比如說系統(tǒng)內(nèi)部、應(yīng)用程序、網(wǎng)絡(luò)端口、文件管理以及內(nèi)網(wǎng)和外網(wǎng)的過渡帶等一些地方，都必須采取措施保證安全防范的嚴(yán)密性，這樣才能夠更好地保證安全技術(shù)本身的整體性能。

2.2網(wǎng)絡(luò)管理以及通信安全方面的技術(shù)

一般情況下，網(wǎng)絡(luò)管理指的便是全面監(jiān)控計(jì)算機(jī)內(nèi)部網(wǎng)絡(luò)的實(shí)際使用情況，比如說對(duì)計(jì)算機(jī)上網(wǎng)的流量進(jìn)行監(jiān)控、進(jìn)行故障檢測(cè)報(bào)警、管理計(jì)算機(jī)網(wǎng)關(guān)。在進(jìn)行工作的時(shí)候，網(wǎng)絡(luò)管理系統(tǒng)會(huì)職能自動(dòng)化的檢測(cè)計(jì)算機(jī)的實(shí)際網(wǎng)絡(luò)情況，這樣能夠更好的提高計(jì)算機(jī)網(wǎng)絡(luò)本身的可信度和可靠性。

2.3計(jì)算機(jī)加密方面的技術(shù)

計(jì)算機(jī)加密技術(shù)主要是對(duì)計(jì)算機(jī)的一些內(nèi)部信息進(jìn)行一定的維護(hù)，從而確保計(jì)算機(jī)以及網(wǎng)絡(luò)信息本身是安全的。就目前而言，現(xiàn)在的加密技術(shù)已經(jīng)有了一定的進(jìn)步，結(jié)構(gòu)不再像以往加密技術(shù)一樣的單一，并形成了計(jì)算機(jī)加密系統(tǒng)，新的系統(tǒng)已經(jīng)將保密性、完整性、真實(shí)性以及可控性結(jié)合在了一起，這對(duì)計(jì)算機(jī)信息安全起到了重要的保護(hù)作用。

2.4計(jì)算機(jī)防火墻方面的技術(shù)

防火墻技術(shù)能夠更好的防止計(jì)算機(jī)網(wǎng)絡(luò)訪問非法的情況，其類型也比較多，比如說過濾型防火墻、網(wǎng)絡(luò)地址轉(zhuǎn)換型防火墻、型防火墻、監(jiān)測(cè)型防火墻。雖然這些防火墻本身的類型有一定的區(qū)別，但是都可以對(duì)網(wǎng)絡(luò)訪問控制進(jìn)行加強(qiáng)，在一定程度上避免外部網(wǎng)絡(luò)用戶非法侵入的出現(xiàn)，維護(hù)了用戶的網(wǎng)絡(luò)使用安全。

2.5計(jì)算機(jī)網(wǎng)絡(luò)防病毒的相關(guān)技術(shù)

一般情況下，網(wǎng)絡(luò)防病毒技術(shù)指的便是利用一些專門的技術(shù)或者手段來對(duì)計(jì)算機(jī)病毒造成的系統(tǒng)破壞進(jìn)行一定的預(yù)防。目前的計(jì)算機(jī)防病毒技術(shù)一般包含了病毒的預(yù)防以及病毒的清理兩個(gè)重要方面，計(jì)算機(jī)病毒預(yù)防是和病毒檢測(cè)技術(shù)的實(shí)際發(fā)展情況有著直接聯(lián)系的，系統(tǒng)應(yīng)該根據(jù)最新發(fā)現(xiàn)的病毒及時(shí)的進(jìn)行病毒庫的更新。在計(jì)算機(jī)病毒檢測(cè)結(jié)束之后，就必須根據(jù)實(shí)際的情況進(jìn)行計(jì)算機(jī)病毒的清理，由此我們也能夠發(fā)現(xiàn)計(jì)算機(jī)病毒清理的被動(dòng)性比較的明顯。

篇（4）

中圖分類號(hào)：TP393.08

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1672-3198(2009)13-0245-02

1　網(wǎng)絡(luò)攻擊和入侵的主要途徑

網(wǎng)絡(luò)入侵是指網(wǎng)絡(luò)攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權(quán)限，并通過使用這些非法的權(quán)限使網(wǎng)絡(luò)攻擊者能對(duì)被攻擊的主機(jī)進(jìn)行非授權(quán)的操作。網(wǎng)絡(luò)入侵的主要途徑有：破譯口令、IP欺騙和DNS欺騙。

口令是計(jì)算機(jī)系統(tǒng)抵御入侵者的一種重要手段，所謂口令入侵是指使用某些合法用戶的帳號(hào)和口令登錄到目的主機(jī)，然后再實(shí)施攻擊活動(dòng)。這種方法的前提是必須先得到該主機(jī)上的某個(gè)合法用戶的帳號(hào)，然后再進(jìn)行合法用戶口令的破譯。獲得普通用戶帳號(hào)的方法很多，如：利用目標(biāo)主機(jī)的Finger功能：當(dāng)用Finger命令查詢時(shí)，主機(jī)系統(tǒng)會(huì)將保存的用戶資料(如用戶名、登錄時(shí)間等)顯示在終端或計(jì)算機(jī)上；利用目標(biāo)主機(jī)的X.500服務(wù)：有些主機(jī)沒有關(guān)閉X.500的目錄查詢服務(wù)，也給攻擊者提供了獲得信息的一條簡(jiǎn)易途徑；從電子郵件地址中收集：有些用戶電子郵件地址常會(huì)透露其在目標(biāo)主機(jī)上的帳號(hào)；查看主機(jī)是否有習(xí)慣性的帳號(hào)；有經(jīng)驗(yàn)的用戶都知道，很多系統(tǒng)會(huì)使用一些習(xí)慣性的帳號(hào)，造成帳號(hào)的泄露。

IP欺騙是指攻擊者偽造別人的IP地址，讓一臺(tái)計(jì)算機(jī)假冒另一臺(tái)計(jì)算機(jī)以達(dá)到蒙混過關(guān)的目的。它只能對(duì)某些特定的運(yùn)行TCP/IP的計(jì)算機(jī)進(jìn)行入侵。IP欺騙利用了TCP/IP網(wǎng)絡(luò)協(xié)議的脆弱性。在TCP的三次握手過程中。入侵者假冒被入侵主機(jī)的信任主機(jī)與被入侵主機(jī)進(jìn)行連接，并對(duì)被入侵主機(jī)所信任的主機(jī)發(fā)起淹沒攻擊，使被信任的主機(jī)處于癱瘓狀態(tài)。當(dāng)主機(jī)正在進(jìn)行遠(yuǎn)程服務(wù)時(shí)，網(wǎng)絡(luò)入侵者最容易獲得目標(biāo)網(wǎng)絡(luò)的信任關(guān)系，從而進(jìn)行IP欺騙。IP欺騙是建立在對(duì)目標(biāo)網(wǎng)絡(luò)的信任關(guān)系基礎(chǔ)之上的。同一網(wǎng)絡(luò)的計(jì)算機(jī)彼此都知道對(duì)方的地址，它們之間互相信任。由于這種信任關(guān)系，這些計(jì)算機(jī)彼此可以不進(jìn)行地址的認(rèn)證而執(zhí)行遠(yuǎn)程操作。

域名系統(tǒng)(DNS)是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫，它提供主機(jī)名字和IP地址之間的轉(zhuǎn)換信息。通常，網(wǎng)絡(luò)用戶通過UDP協(xié)議和DNS服務(wù)器進(jìn)行通信，而服務(wù)器在特定的53端口監(jiān)聽。并返回用戶所需的相關(guān)信息。DNS協(xié)議不對(duì)轉(zhuǎn)換或信息性的更新進(jìn)行身份認(rèn)證，這使得該協(xié)議被人以一些不同的方式加以利用。當(dāng)攻擊者危害DNS服務(wù)器并明確地更改主機(jī)名―IP地址映射表時(shí)，DNS欺騙就會(huì)發(fā)生。這些改變被寫入DNS服務(wù)器上的轉(zhuǎn)換表。因而，當(dāng)一個(gè)客戶機(jī)請(qǐng)求查詢時(shí)，用戶只能得到這個(gè)偽造的地址，該地址是一個(gè)完全處于攻擊者控制下的機(jī)器的IP地址。因?yàn)榫W(wǎng)絡(luò)上的主機(jī)都信任DNS服務(wù)器，所以一個(gè)被破壞的DNS服務(wù)器可以將客戶引導(dǎo)到非法的服務(wù)器。也可以欺騙服務(wù)器相信一個(gè)IP地址確實(shí)屬于一個(gè)被信任客戶。

2　計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生的原因

(1)網(wǎng)絡(luò)安全天生脆弱。

計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的脆弱性是伴隨計(jì)算機(jī)網(wǎng)絡(luò)一同產(chǎn)生的，換句話說，安全系統(tǒng)脆弱是計(jì)算機(jī)網(wǎng)絡(luò)與生俱來的致命弱點(diǎn)。在網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)特性決定了不可能無條件、無限制的提高其安全性能。要使網(wǎng)絡(luò)更方便快捷，又要保證網(wǎng)絡(luò)安全，這是一個(gè)非常棘手的“兩難選擇”，而網(wǎng)絡(luò)安全只能在“兩難選擇”所允許的范圍中尋找支撐點(diǎn)。可以說世界上任何一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)都不是絕對(duì)安全的。

(2)黑客攻擊后果嚴(yán)重。

近幾年，黑客猖狂肆虐，四面出擊，使交通通訊網(wǎng)絡(luò)中斷，軍事指揮系統(tǒng)失靈，電力供水系統(tǒng)癱瘓，銀行金融系統(tǒng)混亂……危及國家的政治、軍事、經(jīng)濟(jì)的安全與穩(wěn)定，在世界各國造成了難以估量的損失。

(3)網(wǎng)絡(luò)殺手集團(tuán)化。

目前，網(wǎng)絡(luò)殺手除了一般的黑客外，還有一批具有高精尖技術(shù)的“專業(yè)殺手”，更令人擔(dān)憂的是出現(xiàn)了具有集團(tuán)性質(zhì)的“網(wǎng)絡(luò)”甚至政府出面組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”，其規(guī)模化、專業(yè)性和破壞程度都使其他黑客望塵莫及。可以說，由政府組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”是當(dāng)前網(wǎng)絡(luò)安全的最大隱患。目前，美國正開展用無線電方式、衛(wèi)星輻射式注入方式、網(wǎng)絡(luò)方式把病毒植入敵方計(jì)算機(jī)主機(jī)或各類傳感器、網(wǎng)橋中的研究以伺機(jī)破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡(luò)系統(tǒng)。另外，為達(dá)到預(yù)定目的，對(duì)出售給潛在敵手的計(jì)算機(jī)芯片進(jìn)行暗中修改，在CPU中設(shè)置“芯片陷阱”，可使美國通過因特網(wǎng)指令讓敵方電腦停止工作，以起到“定時(shí)炸彈”的作用。

(4)破壞手段多元化。

目前，“網(wǎng)絡(luò)”除了制造、傳播病毒軟件、設(shè)置“郵箱炸彈”，更多的是采取借助工具軟件對(duì)網(wǎng)絡(luò)發(fā)動(dòng)襲擊，令其癱瘓或者盜用一些大型研究機(jī)構(gòu)的服務(wù)器，使用“拒絕服務(wù)”程序，如TFN和與之相近的程序等，指揮它們向目標(biāo)網(wǎng)站傳輸遠(yuǎn)遠(yuǎn)超出其帶寬容量的垃圾數(shù)據(jù)，從而使其運(yùn)行中斷。多名黑客甚至可以借助同樣的軟件在不同的地點(diǎn)“集中火力”對(duì)一個(gè)或者多個(gè)網(wǎng)絡(luò)發(fā)起攻擊。而且，黑客們還可以把這些軟件神不知鬼不覺地通過互聯(lián)網(wǎng)安裝到別人的電腦上，然后，在電腦主人根本不知道的情況下“借刀殺人”。

3　安全防范措施

(1)提高思想認(rèn)識(shí)。

近年來，中國的網(wǎng)絡(luò)發(fā)展非常迅速，同時(shí)，中國的網(wǎng)絡(luò)安全也越來越引起人們的關(guān)注，國家權(quán)威部門曾對(duì)國內(nèi)網(wǎng)站的安全系統(tǒng)進(jìn)行測(cè)試，發(fā)現(xiàn)不少單位的計(jì)算機(jī)系統(tǒng)都存在安全漏洞，有些單位還非常嚴(yán)重，隨時(shí)可能被黑客入侵。當(dāng)前，世界各國對(duì)信息戰(zhàn)十分重視，假如我們的網(wǎng)絡(luò)安全無法保證，這勢(shì)必影響到國家政治、經(jīng)濟(jì)的安全。因此，從思想上提高對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)，是我們當(dāng)前的首要任務(wù)。

(2)加強(qiáng)管理制度。

任何網(wǎng)站都不是絕對(duì)安全的，值得一提的是，當(dāng)前一些單位在急忙趕搭“網(wǎng)絡(luò)快車”時(shí)，只管好用，不管安全，這種短視必然帶來嚴(yán)重的惡果，與“網(wǎng)絡(luò)”的較量是一場(chǎng)“看不見硝煙的戰(zhàn)爭(zhēng)”，是高科技的較量，是“硬碰硬”的較量。根據(jù)這一情況，當(dāng)前工作的重點(diǎn)，一是要狠抓日常管理制度的落實(shí)，要把安全管理制度落實(shí)到第一個(gè)環(huán)節(jié)中；二是要加強(qiáng)計(jì)算機(jī)從業(yè)人員的行業(yè)歸口管理，對(duì)這些人員要強(qiáng)化安全教育和法制教育，建立人員管理檔案并進(jìn)行定期的檢查和培訓(xùn)；三是要建立一支反黑客的“快速反應(yīng)部隊(duì)”，同時(shí)加快加緊培養(yǎng)高水平的網(wǎng)絡(luò)系統(tǒng)管理員，并盡快掌握那些關(guān)鍵技術(shù)和管理知識(shí)。

(3)強(qiáng)化防范措施。

一般來說，影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多，但目前最主要的因素是接受電子郵件和下載軟件兩種。下面就這兩種方式談?wù)劵镜姆婪洞胧呵袑?shí)保護(hù)電子郵件的安全：做好郵件帳戶的選擇。現(xiàn)在互聯(lián)網(wǎng)上提供的E-MAIL帳戶

主要都是免費(fèi)帳戶，這些免費(fèi)的服務(wù)不提供任何有效的安全保障而且有的免費(fèi)郵件服務(wù)器常常會(huì)導(dǎo)致郵件受損。所以，單位用戶應(yīng)該選擇收費(fèi)郵件帳戶。做好郵件帳戶的安全防范。一定要保護(hù)好郵箱的密碼。在WEB方式中，不要使用IB的自動(dòng)完成功能，不要使用保存密碼功能以圖省事，入網(wǎng)帳號(hào)與口令應(yīng)該是需要保護(hù)的重中之重，密碼要取得有技巧、有難度，密碼最好能有8位數(shù)，且數(shù)字字母相間，中間還代“*”號(hào)之類的允許怪符號(hào)。

防止郵件炸彈。下面介紹幾種對(duì)付電子郵件炸彈(E-MAIL BOMB)的方法：

①過濾電子郵件。凡可疑的E-MAIL盡量不要開啟：如果懷疑信箱有炸彈，可以用郵件程序的遠(yuǎn)程郵箱管理功能來過濾信件，如國產(chǎn)的郵件程序Foxmail。在進(jìn)行郵箱的遠(yuǎn)程管理時(shí)，仔細(xì)檢查郵件頭信息，如果發(fā)現(xiàn)有來歷可疑的信件或符合郵件炸彈特征的信件，可以直接把它從郵件服務(wù)器上刪除。

②使用殺毒軟件。一是郵件有附件的話，不管是誰發(fā)過來的，也不管其內(nèi)容是什么(即使是文檔，也往往能成為病毒的潛伏場(chǎng)所，像著名的Melissa)，都不要立即執(zhí)行，而是先存盤，然后用殺毒軟件檢查一番，以確保安全。二是注意目前網(wǎng)上有一些別有用心的人以網(wǎng)站的名義，讓你接受他們通過郵件附件推給你的軟件，并以種種借口要求你立即執(zhí)行。對(duì)此，凡是發(fā)過來的任何程序、甚至文檔都應(yīng)用殺毒軟件檢查一番。

③使用轉(zhuǎn)信功能。用戶一般都有幾個(gè)E-mail地址。最好申請(qǐng)一個(gè)容量較大的郵箱作為收信信箱，如777信箱(mail.省略)速度也很快。對(duì)于其它各種信箱，最好支持轉(zhuǎn)信功能的，并設(shè)置轉(zhuǎn)信到大信箱。所有其它郵件地址的信件都會(huì)自動(dòng)轉(zhuǎn)寄到大信箱內(nèi)，可以很好地起到保護(hù)信箱的作用。

④申請(qǐng)郵件數(shù)字簽證。現(xiàn)在國內(nèi)的首都在線(省略)提供了郵件數(shù)字簽證的服務(wù)。數(shù)字簽證不但能夠保護(hù)郵件的信息安全，而且通過它可以確認(rèn)信件的發(fā)送者。最后要注意對(duì)本地的已收發(fā)郵件進(jìn)行相應(yīng)的刪除處理。切實(shí)保障下載軟件的安全。對(duì)于網(wǎng)絡(luò)軟件，需要指出的是，我們對(duì)下載軟件和接受的E-MAIL決不可大意。在下載軟件時(shí)應(yīng)該注意：下載軟件應(yīng)盡量選擇客流大的專業(yè)站點(diǎn)。大型的專業(yè)站點(diǎn)，資金雄厚，技術(shù)成熟，水平較高，信譽(yù)較佳，大都有專人維護(hù)，安全性能好，提供的軟件問題較少。

篇（5）

2）局域網(wǎng)的管理。局域網(wǎng)管理是影響局域網(wǎng)功能能否充分發(fā)揮的重要因素。依據(jù)對(duì)象的不同可將管理內(nèi)容分為人的管理與局域網(wǎng)的管理，其中對(duì)人的管理主要體現(xiàn)在：要求局域網(wǎng)使用人員嚴(yán)格按照制定的規(guī)章制度使用局域網(wǎng)，要求其不人為破壞局域網(wǎng)的軟、硬件，以及其他重要設(shè)施。而對(duì)局域網(wǎng)的管理則包括局域網(wǎng)結(jié)構(gòu)的選擇、局域網(wǎng)功能的擴(kuò)展以及局域網(wǎng)所處環(huán)境的優(yōu)化等內(nèi)容，一方面根據(jù)局域網(wǎng)的規(guī)劃功能選擇合理的局域網(wǎng)拓?fù)浣Y(jié)構(gòu)。另一方面擴(kuò)展局域網(wǎng)功能時(shí)應(yīng)綜合考慮經(jīng)濟(jì)投入，實(shí)現(xiàn)目標(biāo)等內(nèi)容，要求在實(shí)現(xiàn)局域網(wǎng)相關(guān)功能的基礎(chǔ)上最大限度的降低經(jīng)濟(jì)投入。另外，優(yōu)化局域網(wǎng)環(huán)境時(shí)應(yīng)重點(diǎn)考慮人員配備與局域網(wǎng)性能的匹配，以確保局域網(wǎng)資源的充分利用。

2局域網(wǎng)網(wǎng)絡(luò)安全研究

局域網(wǎng)網(wǎng)絡(luò)安全是業(yè)內(nèi)人士討論的經(jīng)典話題，而且隨著互聯(lián)網(wǎng)攻擊的日益頻繁，以及病毒種類的不斷增加與衍生，使人們不得不對(duì)局域網(wǎng)安全問題進(jìn)行重新審視。采取何種防范手段確保局域網(wǎng)安全仍是人們關(guān)注的重點(diǎn)。那么為確保局域網(wǎng)網(wǎng)絡(luò)安全究竟該采取何種措施呢？接下來從物理安全與訪問控制兩方面進(jìn)行探討。

1）物理安全策略。物理安全策略側(cè)重在局域網(wǎng)硬件以及使用人員方面對(duì)局域網(wǎng)進(jìn)行保護(hù)。首先，采取針對(duì)性措施，加強(qiáng)對(duì)局域網(wǎng)中服務(wù)器、通信鏈路的保護(hù)，尤其避免人為因素帶來的破壞。例如，保護(hù)服務(wù)器時(shí)可設(shè)置使用權(quán)限，避免無權(quán)限的人員使用服務(wù)器，導(dǎo)致服務(wù)器信息泄露；其次，加強(qiáng)局域網(wǎng)使用人員的管理。通過制定完善的工作制度，避免外來人員使用局域網(wǎng)，尤其禁止使用局域網(wǎng)時(shí)隨意安裝相關(guān)軟件，拆卸局域網(wǎng)硬件設(shè)備；最后，提高工作人員局域網(wǎng)安全防范意識(shí)。通過專業(yè)培訓(xùn)普及局域網(wǎng)安全技術(shù)知識(shí)，使局域網(wǎng)使用者掌握有效的安全防范技巧與方法，從內(nèi)部入手做好局域網(wǎng)安全防范工作。

2）加強(qiáng)訪問控制。訪問控制是防止局域網(wǎng)被惡意攻擊、病毒傳染的有效手段，因此，為進(jìn)一步提高局域網(wǎng)安全性，應(yīng)加強(qiáng)訪問控制。具體應(yīng)從以下幾方面入手實(shí)現(xiàn)訪問控制。首先，做好入網(wǎng)訪問控制工作。當(dāng)用戶試圖登錄服務(wù)器訪問相關(guān)資源時(shí)，應(yīng)加強(qiáng)用戶名、密碼的檢查，有效避免非法人員訪問服務(wù)器；其次，給用戶設(shè)置不同的訪問權(quán)限。當(dāng)用戶登錄到服務(wù)器后，為防止無關(guān)人員獲取服務(wù)器重要信息，應(yīng)給予設(shè)置對(duì)應(yīng)的權(quán)限，即只允許用戶在權(quán)限范圍內(nèi)進(jìn)行相關(guān)操作，訪問相關(guān)子目錄、文件夾中的文件等，避免其給局域網(wǎng)帶來安全威脅；再次，加強(qiáng)局域網(wǎng)的監(jiān)測(cè)。網(wǎng)絡(luò)管理員應(yīng)密切監(jiān)視用戶行為，詳細(xì)記錄其所訪問的資源，一旦發(fā)現(xiàn)用戶有不法行為應(yīng)對(duì)其進(jìn)行鎖定，限制其訪問；最后，從硬件方面入手提高網(wǎng)絡(luò)的安全性。例如，可根據(jù)保護(hù)信息的重要程度，分別設(shè)置數(shù)據(jù)庫防火墻、應(yīng)用層防火墻以及網(wǎng)絡(luò)層防火墻。其中數(shù)據(jù)庫防火墻可對(duì)訪問進(jìn)行控制，一旦發(fā)現(xiàn)給數(shù)據(jù)庫構(gòu)成威脅的行為可及時(shí)阻斷。同時(shí)，其還具備審計(jì)用戶行為的功能，判斷中哪些行為可能給數(shù)據(jù)庫信息構(gòu)成破壞等。應(yīng)用層防火墻可實(shí)現(xiàn)某程序所有程序包的攔截，可有效防止木馬、蠕蟲等病毒的侵入。網(wǎng)絡(luò)層防火墻工作在底層TCP/IP協(xié)議堆棧上，依據(jù)制定的規(guī)則對(duì)訪問行為進(jìn)行是否允許訪問的判斷。而訪問規(guī)則由管理員結(jié)合實(shí)際進(jìn)行設(shè)定。

3）加強(qiáng)安全管理。網(wǎng)絡(luò)病毒由來已久而且具有較大破壞性，因此，為避免其給網(wǎng)絡(luò)造成破壞，管理員應(yīng)加強(qiáng)管理做好病毒防范工作。一方面要求用戶拒絕接受可疑郵件，不擅自下載、安裝可疑軟件。另一方面，在使用U盤、軟盤時(shí)應(yīng)先進(jìn)行病毒查殺。另外，安裝專門的殺毒軟件，如卡巴斯基、360殺毒等并及時(shí)更新病毒庫，定期對(duì)系統(tǒng)進(jìn)行掃描，以及時(shí)發(fā)現(xiàn)病毒將其殺滅。另外，安裝入侵檢測(cè)系統(tǒng)。該系統(tǒng)可即時(shí)監(jiān)視網(wǎng)絡(luò)傳輸情況，一旦發(fā)現(xiàn)可疑文件傳輸時(shí)就會(huì)發(fā)出警報(bào)或直接采用相關(guān)措施，保護(hù)網(wǎng)絡(luò)安全。依據(jù)方法可將其分為誤用入侵檢測(cè)與異常入侵檢測(cè)，其中異常檢測(cè)又被細(xì)分為多種檢測(cè)方法，以實(shí)現(xiàn)入侵行為檢測(cè)，而誤用入侵檢測(cè)包括基于狀態(tài)轉(zhuǎn)移分析的檢測(cè)法、專家系統(tǒng)法以及模式匹配法等。其中模式匹配法指將收集的信息與存在于數(shù)據(jù)路中的網(wǎng)絡(luò)入侵信息進(jìn)行對(duì)比，以及時(shí)發(fā)現(xiàn)入侵行為。

篇（6）

（二）網(wǎng)絡(luò)安全具有一些鮮明的特征，其不同于其他技術(shù)，計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)虛擬的世界，其特征也是具有多樣性的特點(diǎn)。

1.保密性：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)將信息嚴(yán)格保密，未經(jīng)許可不能向非授權(quán)用戶及實(shí)體進(jìn)行泄露，也絕對(duì)不允許非授權(quán)用戶使用。

2.完整性：當(dāng)在網(wǎng)絡(luò)上進(jìn)行存儲(chǔ)時(shí)要具有存儲(chǔ)過程中未經(jīng)授權(quán)不能改變和破壞丟失數(shù)據(jù)的特點(diǎn)。

3.可用性：指的是可以在授權(quán)實(shí)體的要求下進(jìn)行使用的特點(diǎn)，通俗的說也就是能夠隨時(shí)存取所需要的信息。網(wǎng)絡(luò)環(huán)境下破壞服務(wù)、拒絕服務(wù)的系統(tǒng)正常運(yùn)行就屬于針對(duì)可用性這一特性的攻擊。

4.可控性：可以針對(duì)信息的傳播進(jìn)行有效的控制。

5.可審查性：針對(duì)安全問題的發(fā)生提供有力的手段和依據(jù)。

二、購物網(wǎng)站安全現(xiàn)狀分析

當(dāng)前的購物網(wǎng)站安全問題是商業(yè)網(wǎng)站發(fā)展中的突出問題，隨著網(wǎng)絡(luò)技術(shù)的普及和互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，購物網(wǎng)站的規(guī)模和復(fù)雜性也越來越大，其存在的安全漏洞也越來越多。而且目前的網(wǎng)絡(luò)攻擊現(xiàn)象也不斷增多，針對(duì)購物網(wǎng)站的漏洞進(jìn)行惡意攻擊的現(xiàn)象不斷發(fā)生，也構(gòu)成了購物網(wǎng)站的多種不安全因素。當(dāng)前的網(wǎng)絡(luò)攻擊行為多種方法混合使用，復(fù)雜情況越來越多，隱蔽性也非常強(qiáng)，針對(duì)其的防范也越來越困難。黑客攻擊購物網(wǎng)站是為了獲取實(shí)際的經(jīng)濟(jì)利益，木馬程序、惡意網(wǎng)站等危害網(wǎng)絡(luò)安全的手段越來越多，日趨泛濫；而且隨著人們手中的互聯(lián)網(wǎng)設(shè)備發(fā)展越來越迅速，手機(jī)等無線掌上終端的處理能力和功能通用性不斷提高，針對(duì)這些個(gè)人無線終端的網(wǎng)絡(luò)攻擊也開始出現(xiàn)，而且呈發(fā)展趨勢(shì)。當(dāng)前的購物網(wǎng)站通常采用資金通過第三方支付或者網(wǎng)上銀行支付的方式來進(jìn)行支付，這雖然增強(qiáng)了網(wǎng)上購物的支付快捷性，但是其交易的安全性還存在一定的風(fēng)險(xiǎn)。這一類的支付形式，通常很難保障消費(fèi)者網(wǎng)上消費(fèi)的安全，一旦在數(shù)據(jù)的傳輸過程遭到攻擊，消費(fèi)者的銀行信息資料可能被黑客盜取，并為此遭受經(jīng)濟(jì)或者隱私損失。隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，還有許多惡意程序攻擊用戶計(jì)算機(jī)來達(dá)到一些不法分子別用用心的目的，可能有計(jì)算機(jī)用戶在進(jìn)行網(wǎng)上消費(fèi)時(shí)落入惡意程序的陷阱，從而使得黑客通過用戶的網(wǎng)上銀行進(jìn)入銀行數(shù)據(jù)庫盜取用戶信息，給用戶造成經(jīng)濟(jì)損失。所以，網(wǎng)絡(luò)安全問題是一個(gè)高技術(shù)含量的復(fù)雜問題，而且越來越變得錯(cuò)綜復(fù)雜，其造成的惡劣影響也是不斷擴(kuò)大，短期內(nèi)無法取得成效。因此在網(wǎng)絡(luò)安全日益嚴(yán)重的今天，必須重視對(duì)網(wǎng)絡(luò)安全的防范，只有做到防范到位，才能保障網(wǎng)絡(luò)應(yīng)用的順利進(jìn)行。購物網(wǎng)站根據(jù)網(wǎng)絡(luò)安全的防范要求，通常采取一些措施加以防范，保障用戶網(wǎng)絡(luò)安全，主要有以下幾點(diǎn)：第一，身份真實(shí)性的識(shí)別：保障通信實(shí)體具有真實(shí)的身份；第二，信息機(jī)密性：保證機(jī)密信息不會(huì)泄露給非授權(quán)實(shí)體；第三，信息的完整性：保證數(shù)據(jù)的完整性，防止非授權(quán)用戶對(duì)信息的破壞和使用；第四：服務(wù)可用性：防止合法用戶使用信息被非法拒絕；第五：不可否認(rèn)性：有效地責(zé)任機(jī)制可以防止實(shí)體否認(rèn)其行為；第六：系統(tǒng)可控性：可以控制使用資源的實(shí)體的使用方式；第七：系統(tǒng)易用性：安全要求滿足的情況下，系統(tǒng)的操作要盡量簡(jiǎn)單；第八：可審查性：可以為出問題的網(wǎng)絡(luò)安全問題提供調(diào)查依據(jù)和手段。

三、保障網(wǎng)絡(luò)工作順暢的措施

當(dāng)前階段，網(wǎng)絡(luò)工作要保障順暢，要采取以下措施加以保障：

（一）針對(duì)網(wǎng)絡(luò)病毒進(jìn)行有效防范

網(wǎng)絡(luò)病毒是一種危害網(wǎng)絡(luò)安全的主要方式，其具有傳播快，擴(kuò)散面廣、傳播載體多樣的特點(diǎn)，對(duì)于網(wǎng)絡(luò)病毒的清除也非常困難，其遺留的破壞力也相對(duì)較大。而且網(wǎng)絡(luò)病毒可以郵件附件、服務(wù)器、文件共享及郵件等方式進(jìn)行傳播。針對(duì)網(wǎng)絡(luò)病毒要注意幾點(diǎn)進(jìn)行防范，對(duì)于不明附件和文件擴(kuò)展名不打開，不盲目運(yùn)行程序也不盲目轉(zhuǎn)發(fā)不明郵件，在進(jìn)行系統(tǒng)漏洞及其他操作時(shí)從正規(guī)的網(wǎng)站下載軟件，經(jīng)常進(jìn)行病毒的查殺，盡可能使用最新版本的殺毒軟件定期進(jìn)行病毒查殺。

（二）積極采用入侵檢測(cè)系統(tǒng)

入侵檢測(cè)技術(shù)是一項(xiàng)有效防范網(wǎng)絡(luò)攻擊的手段。其通過對(duì)各種網(wǎng)絡(luò)資源和系統(tǒng)資源信息的采集，并對(duì)信息進(jìn)行有效地判斷和分析，來檢測(cè)其是否具有攻擊性和異常行為，通過入侵檢測(cè)系統(tǒng)的檢測(cè)可以有效地將有害信息進(jìn)行剔除，防止其進(jìn)入網(wǎng)絡(luò)系統(tǒng)形成實(shí)際破壞和網(wǎng)絡(luò)隱私泄露情況發(fā)生。而且，入侵檢測(cè)系統(tǒng)還可以及時(shí)的將用戶信息及系統(tǒng)行為進(jìn)行分析，針對(duì)系統(tǒng)漏洞進(jìn)行檢測(cè)，及時(shí)將有害信息和攻擊行為及時(shí)通報(bào)和響應(yīng)。

（三）進(jìn)行防火墻的配置

防火墻是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的重要方面。通過防火墻的設(shè)置，可以根據(jù)計(jì)算機(jī)系統(tǒng)的要求針對(duì)信息進(jìn)行篩選，允許和限制數(shù)據(jù)傳輸?shù)耐ㄟ^。防火墻是一項(xiàng)有效的保護(hù)措施。侵入計(jì)算機(jī)的黑客必須要先通過防火墻的安全警戒，才能到達(dá)計(jì)算機(jī)系統(tǒng)內(nèi)部。防火墻還可以分成多個(gè)級(jí)別，形成多重保護(hù)。高級(jí)別的保護(hù)可以根據(jù)用戶自身要求來對(duì)信息進(jìn)行針對(duì)性的保護(hù)，這樣可以有效保護(hù)用戶的個(gè)人隱私信息。

篇（7）

當(dāng)今許多的企業(yè)都廣泛的使用信息技術(shù)，特別是網(wǎng)絡(luò)技術(shù)的應(yīng)用越來越多，而寬帶接入已經(jīng)成為企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)接入國際互聯(lián)網(wǎng)的主要方式。而與此同時(shí)，因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)特有的開放性，企業(yè)的網(wǎng)絡(luò)安全問題也隨之而來，由于安全問題給企業(yè)造成了相當(dāng)大的損失。因此，預(yù)防和檢測(cè)網(wǎng)絡(luò)設(shè)計(jì)的安全問題和來自國際互聯(lián)網(wǎng)的黑客攻擊以及病毒入侵成為網(wǎng)絡(luò)管理員一個(gè)重要課題。

一、網(wǎng)絡(luò)安全問題

在實(shí)際應(yīng)用過程中，遇到了不少網(wǎng)絡(luò)安全方面的問題。網(wǎng)絡(luò)安全是一個(gè)十分復(fù)雜的問題，它的劃分大體上可以分為內(nèi)網(wǎng)和外網(wǎng)。如下表所示：

由上表可以看出，外部網(wǎng)的安全問題主要集中在入侵方面，主要的體現(xiàn)在：未授權(quán)的訪問，破壞數(shù)據(jù)的完整性，拒絕服務(wù)攻擊和利用網(wǎng)絡(luò)、網(wǎng)頁瀏覽和電子郵件夾帶傳播病毒。但是網(wǎng)絡(luò)安全不僅要防范外部網(wǎng)，同時(shí)更防范內(nèi)部網(wǎng)。因?yàn)閮?nèi)部網(wǎng)安全措施對(duì)網(wǎng)絡(luò)安全的意義更大。據(jù)調(diào)查，在已知的網(wǎng)絡(luò)安全事件中,約70%的攻擊是來自內(nèi)部網(wǎng)。內(nèi)部網(wǎng)的安全問題主要體現(xiàn)在：物理層的安全，資源共享的訪問控制策略，網(wǎng)內(nèi)病毒侵害，合法用戶非授權(quán)訪問，假冒合法用戶非法授權(quán)訪問和數(shù)據(jù)災(zāi)難性破壞。

二、安全管理措施

綜合以上對(duì)于網(wǎng)絡(luò)安全問題的初步認(rèn)識(shí)，有線中心采取如下的措施：

（一）針對(duì)與外網(wǎng)的一些安全問題

對(duì)于外網(wǎng)造成的安全問題，使用防火墻技術(shù)來實(shí)現(xiàn)二者的隔離和訪問控制。

防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的措施之一。防火墻可以對(duì)所有的訪問進(jìn)行嚴(yán)格控制（允許、禁止、報(bào)警）。

防火墻可以監(jiān)視、控制和更改在內(nèi)部和外部網(wǎng)絡(luò)之間流動(dòng)的網(wǎng)絡(luò)通信；用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，從而保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境。所以，安裝防火墻對(duì)于網(wǎng)絡(luò)安全來說具有很多優(yōu)點(diǎn)：（1）集中的網(wǎng)絡(luò)安全；（2）可作為中心“扼制點(diǎn)”；（3）產(chǎn)生安全報(bào)警；（4）監(jiān)視并記錄Internet的使用；（5）NAT的位置；（6）WWW和FTP服務(wù)器的理想位置。

但防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過防火墻的其它攻擊。為此，中心選用了RealSecureSystemAgent和NetworkEngine。其中，RealSecureSystemAgent是一種基于主機(jī)的實(shí)時(shí)入侵檢測(cè)產(chǎn)品，一旦發(fā)現(xiàn)對(duì)主機(jī)的入侵，RealSecure可以中斷用戶進(jìn)程和掛起用戶賬號(hào)來阻止進(jìn)一步入侵，同時(shí)它還會(huì)發(fā)出警報(bào)、記錄事件等以及執(zhí)行用戶自定義動(dòng)作。RealSecureSystemAgent還具有偽裝功能，可以將服務(wù)器不開放的端口進(jìn)行偽裝，進(jìn)一步迷惑可能的入侵者，提高系統(tǒng)的防護(hù)時(shí)間。Re?鄄alSecureNetworkEngin是基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)產(chǎn)品，在網(wǎng)絡(luò)中分析可疑的數(shù)據(jù)而不會(huì)影響數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸。網(wǎng)絡(luò)入侵檢測(cè)RealSecureNetworkEngine在檢測(cè)到網(wǎng)絡(luò)入侵后，除了可以及時(shí)切斷攻擊行為之外，還可以動(dòng)態(tài)地調(diào)整防火墻的防護(hù)策略，使得防火墻成為一個(gè)動(dòng)態(tài)的、智能的防護(hù)體系。

通過部署入侵檢測(cè)系統(tǒng)，我們實(shí)現(xiàn)了以下功能：

對(duì)于WWW服務(wù)器，配置主頁的自動(dòng)恢復(fù)功能，即如果WWW服務(wù)器被攻破、主頁被纂改，系統(tǒng)能夠自動(dòng)識(shí)別并把它恢復(fù)至事先設(shè)定的頁面。

入侵檢測(cè)系統(tǒng)與防火墻進(jìn)行“互動(dòng)”，即當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到網(wǎng)絡(luò)攻擊后，通知防火墻，由防火墻對(duì)攻擊進(jìn)行阻斷。

（二）針對(duì)網(wǎng)絡(luò)物理層的穩(wěn)定

網(wǎng)絡(luò)物理層的穩(wěn)定主要包括設(shè)備的電源保護(hù)，抗電磁干擾和防雷擊。

本中心采用二路供電的措施，并且在配電箱后面接上穩(wěn)壓器和不間斷電源。所有的網(wǎng)絡(luò)設(shè)備都放在機(jī)箱中，所有的機(jī)箱都必須有接地的設(shè)計(jì)，在機(jī)房安裝的時(shí)候必須按照接地的規(guī)定做工程；對(duì)于供電設(shè)備，也必須做好接地的工作。這樣就可以防止靜電對(duì)設(shè)備的破壞，保證了網(wǎng)內(nèi)硬件的安全。

（三）針對(duì)病毒感染的問題

病毒程序可以通過電子郵件、使用盜版光盤等傳播途徑潛入內(nèi)部網(wǎng)。網(wǎng)絡(luò)中一旦有一臺(tái)主機(jī)受病毒感染，則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。防病毒解決方案體系結(jié)構(gòu)中用于降低或消除惡意代碼；廣告軟件和間諜軟件帶來的風(fēng)險(xiǎn)的相關(guān)技術(shù)。中心使用企業(yè)網(wǎng)絡(luò)版殺毒軟件，（例如：SymantecAntivirus等）并控制寫入服務(wù)器的客戶端，網(wǎng)管可以隨時(shí)升級(jí)并殺毒，保證寫入數(shù)據(jù)的安全性，服務(wù)器的安全性，以及在客戶端安裝由奇虎安全衛(wèi)士之類來防止廣告軟件和間諜軟件。

（四）針對(duì)應(yīng)用系統(tǒng)的安全

應(yīng)用系統(tǒng)的安全主要面對(duì)的是服務(wù)器的安全，對(duì)于服務(wù)器來說，安全的配置是首要的。對(duì)于本中心來說主要需要2個(gè)方面的配置：服務(wù)器的操作系統(tǒng)（Windows2003）的安

全配置和數(shù)據(jù)庫（SQLServer2000）的安全配置。1．操作系統(tǒng)（Windows2003）的安全配置

（1）系統(tǒng)升級(jí)、打操作系統(tǒng)補(bǔ)丁，尤其是IIS6.0補(bǔ)丁。

（2）禁止默認(rèn)共享。

（3）打開管理工具-本地安全策略，在本地策略-安全選項(xiàng)中，開啟不顯示上次的登錄用戶名。

（4）禁用TCP/IP上的NetBIOS。

（5）停掉Guest帳號(hào)，并給guest加一個(gè)異常復(fù)雜的密碼。

（6）關(guān)閉不必要的端口。

（7）啟用WIN2003的自身帶的網(wǎng)絡(luò)防火墻，并進(jìn)行端口的改變。

（8）打開審核策略，這個(gè)也非常重要，必須開啟。

2．?dāng)?shù)據(jù)庫（SQLServer2000）的安全配置

（1）安裝完SQLServer2000數(shù)據(jù)庫上微軟網(wǎng)站打最新的SP4補(bǔ)丁。

（2）使用安全的密碼策略

。設(shè)置復(fù)雜的sa密碼。

（3）在IPSec過濾拒絕掉1434端口的UDP通訊，可以盡可能地隱藏你的SQLServer。

（4）使用操作系統(tǒng)自己的IPSec可以實(shí)現(xiàn)IP數(shù)據(jù)包的安全性。

（五）管理員的工具

除了以上的一些安全措施以外，作為網(wǎng)絡(luò)管理員還要準(zhǔn)備一些針對(duì)網(wǎng)絡(luò)監(jiān)控的管理工具，通過這些工具來加強(qiáng)對(duì)網(wǎng)絡(luò)安全的管理。

Ping、Ipconfig/winipcfg、Netstat：

Ping，TCP/IP協(xié)議的探測(cè)工具。

Ipconfig/winipcfg，查看和修改網(wǎng)絡(luò)中的TCP/IP協(xié)議的有關(guān)配置，

Netstat，利用該工具可以顯示有關(guān)統(tǒng)計(jì)信息和當(dāng)前TCP/IP網(wǎng)絡(luò)連接的情況，用戶或網(wǎng)絡(luò)管理人員可以得到非常詳盡的統(tǒng)計(jì)結(jié)果。

SolarWindsEngineer''''sEditionToolset

另外本中心還采用SolarWindsEngineer''''sEditionToolset。它的用途十分廣泛，涵蓋了從簡(jiǎn)單、變化的ping監(jiān)控器及子網(wǎng)計(jì)算器（Subnetcalculators）到更為復(fù)雜的性能監(jiān)控器何地址管理功能。”

SolarWindsEngineer''''sEditionToolset的介紹：

SolarWindsEngineer’sEdition是一套非常全面的網(wǎng)絡(luò)工具庫，包括了網(wǎng)絡(luò)恢復(fù)、錯(cuò)誤監(jiān)控、性能監(jiān)控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外，Engineer’sEdition還增加了新的SwitchPortMapper工具，它可以在您的switch上自動(dòng)執(zhí)行Layer2和Layer3恢復(fù)。工程師版包含了SolarwindsMIB瀏覽器和網(wǎng)絡(luò)性能監(jiān)控器（NetworkPerformanceMonitor），以及其他附加網(wǎng)絡(luò)管理工具。

SnifferPro能夠了解本機(jī)網(wǎng)絡(luò)的使用情況，它使用流量顯示和圖表繪制功能在眾多網(wǎng)管軟件中最為強(qiáng)大最為靈活；它能在于混雜模式下的監(jiān)聽，也就是說它可以監(jiān)聽到來自于其他計(jì)算機(jī)發(fā)往另外計(jì)算機(jī)的數(shù)據(jù)，當(dāng)然很多混雜模式下的監(jiān)聽是以一定的設(shè)置為基礎(chǔ)的，只有了解了對(duì)本機(jī)流量的監(jiān)聽設(shè)置才能夠進(jìn)行高級(jí)混雜模式監(jiān)聽。

除了上面說的五個(gè)措施以外，還有不少其他的措施加強(qiáng)了安全問題的管理：

制訂相應(yīng)的機(jī)房管理制度；

制訂相應(yīng)的軟件管理制度；

制訂嚴(yán)格的操作管理規(guī)程；

篇（8）

一、無線網(wǎng)絡(luò)安全問題的表現(xiàn)

1.1插入攻擊插入攻擊以部署非授權(quán)的設(shè)備或創(chuàng)建新的無線網(wǎng)絡(luò)為基礎(chǔ)，這種部署或創(chuàng)建往往沒有經(jīng)過安全過程或安全檢查。可對(duì)接入點(diǎn)進(jìn)行配置，要求客戶端接入時(shí)輸入口令。如果沒有口令，入侵者就可以通過啟用一個(gè)無線客戶端與接入點(diǎn)通信，從而連接到內(nèi)部網(wǎng)絡(luò)。但有些接入點(diǎn)要求的所有客戶端的訪問口令竟然完全相同。這是很危險(xiǎn)的。

1.2漫游攻擊者攻擊者沒有必要在物理上位于企業(yè)建筑物內(nèi)部，他們可以使用網(wǎng)絡(luò)掃描器，如Netstumbler等工具。可以在移動(dòng)的交通工具上用筆記本電腦或其它移動(dòng)設(shè)備嗅探出無線網(wǎng)絡(luò)，這種活動(dòng)稱為“wardriving”；走在大街上或通過企業(yè)網(wǎng)站執(zhí)行同樣的任務(wù)，這稱為“warwalking”。

1.3欺詐性接入點(diǎn)所謂欺詐性接入點(diǎn)是指在未獲得無線網(wǎng)絡(luò)所有者的許可或知曉的情況下，就設(shè)置或存在的接入點(diǎn)。一些雇員有時(shí)安裝欺詐性接入點(diǎn)，其目的是為了避開已安裝的安全手段，創(chuàng)建隱蔽的無線網(wǎng)絡(luò)。這種秘密網(wǎng)絡(luò)雖然基本上無害，但它卻可以構(gòu)造出一個(gè)無保護(hù)措施的網(wǎng)絡(luò)，并進(jìn)而充當(dāng)了入侵者進(jìn)入企業(yè)網(wǎng)絡(luò)的開放門戶。

1.4雙面惡魔攻擊這種攻擊有時(shí)也被稱為“無線釣魚”，雙面惡魔其實(shí)就是一個(gè)以鄰近的網(wǎng)絡(luò)名稱隱藏起來的欺詐性接入點(diǎn)。雙面惡魔等待著一些盲目信任的用戶進(jìn)入錯(cuò)誤的接入點(diǎn)，然后竊取個(gè)別網(wǎng)絡(luò)的數(shù)據(jù)或攻擊計(jì)算機(jī)。

1.5竊取網(wǎng)絡(luò)資源有些用戶喜歡從鄰近的無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)，即使他們沒有什么惡意企圖，但仍會(huì)占用大量的網(wǎng)絡(luò)帶寬，嚴(yán)重影響網(wǎng)絡(luò)性能。而更多的不速之客會(huì)利用這種連接從公司范圍內(nèi)發(fā)送郵件，或下載盜版內(nèi)容，這會(huì)產(chǎn)生一些法律問題。

1.6對(duì)無線通信的劫持和監(jiān)視正如在有線網(wǎng)絡(luò)中一樣，劫持和監(jiān)視通過無線網(wǎng)絡(luò)的網(wǎng)絡(luò)通信是完全可能的。它包括兩種情況，一是無線數(shù)據(jù)包分析，即熟練的攻擊者用類似于有線網(wǎng)絡(luò)的技術(shù)捕獲無線通信。其中有許多工具可以捕獲連接會(huì)話的最初部分，而其數(shù)據(jù)一般會(huì)包含用戶名和口令。攻擊者然后就可以用所捕獲的信息來冒稱一個(gè)合法用戶，并劫持用戶會(huì)話和執(zhí)行一些非授權(quán)的命令等。第二種情況是廣播包監(jiān)視，這種監(jiān)視依賴于集線器，所以很少見。

二、保障無線網(wǎng)絡(luò)安全的技術(shù)方法

2.1隱藏SSIDSSID，即ServiceSetIdentifier的簡(jiǎn)稱，讓無線客戶端對(duì)不同無線網(wǎng)絡(luò)的識(shí)別，類似我們的手機(jī)識(shí)別不同的移動(dòng)運(yùn)營商的機(jī)制。參數(shù)在設(shè)備缺省設(shè)定中是被AP無線接入點(diǎn)廣播出去的，客戶端只有收到這個(gè)參數(shù)或者手動(dòng)設(shè)定與AP相同的SSID才能連接到無線網(wǎng)絡(luò)。而我們?nèi)绻堰@個(gè)廣播禁止，一般的漫游用戶在無法找到SSID的情況下是無法連接到網(wǎng)絡(luò)的。需要注意的是，如果黑客利用其他手段獲取相應(yīng)參數(shù)，仍可接入目標(biāo)網(wǎng)絡(luò)，因此，隱藏SSID適用于一般SOHO環(huán)境當(dāng)作簡(jiǎn)單口令安全方式。

2.2MAC地址過濾顧名思義，這種方式就是通過對(duì)AP的設(shè)定，將指定的無線網(wǎng)卡的物理地址（MAC地址）輸入到AP中。而AP對(duì)收到的每個(gè)數(shù)據(jù)包都會(huì)做出判斷，只有符合設(shè)定標(biāo)準(zhǔn)的才能被轉(zhuǎn)發(fā)，否則將會(huì)被丟棄。這種方式比較麻煩，而且不能支持大量的移動(dòng)客戶端。另外，如果黑客盜取合法的MAC地址信息，仍可以通過各種方法適用假冒的MAC地址登陸網(wǎng)絡(luò)，一般SOHO，小型企業(yè)工作室可以采用該安全手段。

2.3WEP加密WEP是WiredEquivalentPrivacy的簡(jiǎn)稱，所有經(jīng)過WIFI認(rèn)證的設(shè)備都支持該安全協(xié)定。采用64位或128位加密密鑰的RC4加密算法，保證傳輸數(shù)據(jù)不會(huì)以明文方式被截獲。該方法需要在每套移動(dòng)設(shè)備和AP上配置密碼，部署比較麻煩；使用靜態(tài)非交換式密鑰，安全性也受到了業(yè)界的質(zhì)疑，但是它仍然可以阻擋一般的數(shù)據(jù)截獲攻擊，一般用于SOHO、中小型企業(yè)的安全加密。

2.4AP隔離類似于有線網(wǎng)絡(luò)的VLAN，將所有的無線客戶端設(shè)備完全隔離，使之只能訪問AP連接的固定網(wǎng)絡(luò)。該方法用于對(duì)酒店和機(jī)場(chǎng)等公共熱點(diǎn)HotSpot的架設(shè)，讓接入的無線客戶端保持隔離，提供安全的Internet接入。

2.5802.1x協(xié)議802.1x協(xié)議由IEEE定義，用于以太網(wǎng)和無線局域網(wǎng)中的端口訪問與控制。802.1x引入了PPP協(xié)議定義的擴(kuò)展認(rèn)證協(xié)議EAP。作為擴(kuò)展認(rèn)證協(xié)議，EAP可以采用MD5，一次性口令，智能卡，公共密鑰等等更多的認(rèn)證機(jī)制，從而提供更高級(jí)別的安全。

2.6WPAWPA即Wi-Fiprotectedaccess的簡(jiǎn)稱，下一代無線規(guī)格802.11i之前的過渡方案，也是該標(biāo)準(zhǔn)內(nèi)的一小部分。WPA率先使用802.11i中的加密技術(shù)-TKIP（TemporalKeyIntegrityProtocol），這項(xiàng)技術(shù)可大幅解決802.11原先使用WEP所隱藏的安全問題。很多客戶端和AP并不支持WPA協(xié)議，而且TKIP加密仍不能滿足高端企業(yè)和政府的加密需求，該方法多用于企業(yè)無線網(wǎng)絡(luò)部署。

2.7WPA2WPA2與WPA后向兼容，支持更高級(jí)的AES加密，能夠更好地解決無線網(wǎng)絡(luò)的安全問題。由于部分AP和大多數(shù)移動(dòng)客戶端不支持此協(xié)議，盡管微軟已經(jīng)提供最新的WPA2補(bǔ)丁，但是仍需要對(duì)客戶端逐一部署。該方法適用于企業(yè)、政府及SOHO用戶。

篇（9）

1.1醫(yī)院網(wǎng)絡(luò)內(nèi)部管理

(1)建立網(wǎng)絡(luò)安全管理規(guī)章制度加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全管理的重要措施之一就是建立健全網(wǎng)絡(luò)安全管理規(guī)章制度，提高醫(yī)院全員認(rèn)識(shí)到醫(yī)院網(wǎng)絡(luò)安全管理重要性，設(shè)立以院領(lǐng)導(dǎo)為核心的信息安全領(lǐng)導(dǎo)小組，明確領(lǐng)導(dǎo)小組相應(yīng)責(zé)任并落實(shí)信息管理人員責(zé)任，加大投入資金，對(duì)網(wǎng)絡(luò)安全管理軟硬件設(shè)備進(jìn)行更新升級(jí)，對(duì)網(wǎng)絡(luò)安全管理專業(yè)隊(duì)伍需要加強(qiáng)建設(shè)，信息網(wǎng)絡(luò)人員必須要有責(zé)任心及熟練的網(wǎng)絡(luò)應(yīng)用技術(shù)，同時(shí)要堅(jiān)持管理創(chuàng)新及技術(shù)創(chuàng)新，根據(jù)本院信息網(wǎng)絡(luò)的運(yùn)行情況，制定應(yīng)對(duì)網(wǎng)絡(luò)危機(jī)的預(yù)案。(2)網(wǎng)絡(luò)安全教育網(wǎng)絡(luò)安全工作的主體是人，醫(yī)院的各級(jí)領(lǐng)導(dǎo)、組織和部門工作人員從思想和行動(dòng)上都要重視醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全，提高全員安全意識(shí)，樹立安全人人有責(zé)，由于醫(yī)院的內(nèi)部網(wǎng)絡(luò)涉及臨床科室、醫(yī)技科室、職能科室等部門，計(jì)算機(jī)操作水平參差不齊，因此，必須定期培訓(xùn)計(jì)算機(jī)網(wǎng)絡(luò)客戶端的使用人員，使他們具有一些計(jì)算機(jī)方面的專業(yè)知識(shí)，盡量減輕醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)管理人員的工作壓力，當(dāng)其客戶端出現(xiàn)問題之后能得到及時(shí)的解決，減少人為的差錯(cuò)及故障發(fā)生。(3)網(wǎng)絡(luò)設(shè)備管理網(wǎng)絡(luò)設(shè)備是整個(gè)信息網(wǎng)絡(luò)安全的基礎(chǔ)，整個(gè)網(wǎng)絡(luò)中的關(guān)鍵設(shè)備包括服務(wù)器、數(shù)據(jù)儲(chǔ)存、中心交換機(jī)、二級(jí)交換機(jī)、光纜等，因此這些設(shè)備的性能直接影響到整個(gè)信息系統(tǒng)的安全運(yùn)行，從可靠性、穩(wěn)定及容易升級(jí)等方面對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行選擇，對(duì)重要設(shè)備最好采用雙機(jī)熱備份的方式實(shí)現(xiàn)系統(tǒng)集群，還要配備兩套UPS電源，避免突然斷電造成服務(wù)器數(shù)據(jù)流失，提高系統(tǒng)可用性，服務(wù)器以主從或互備方式工作，當(dāng)一旦某臺(tái)設(shè)備發(fā)生故障，另外一臺(tái)設(shè)備可以立即自動(dòng)接管，變成工作主機(jī)，將系統(tǒng)中斷影響降到最低；此外，使用物理隔離設(shè)備將外部互聯(lián)網(wǎng)和內(nèi)部信息系統(tǒng)進(jìn)行隔離，確保重要數(shù)據(jù)不外泄。(4)實(shí)時(shí)監(jiān)控用戶上網(wǎng)行為應(yīng)用主機(jī)安全監(jiān)控系統(tǒng)，實(shí)現(xiàn)對(duì)用戶上網(wǎng)行為的實(shí)時(shí)監(jiān)控，從而讓網(wǎng)管及時(shí)了解和控制局域網(wǎng)用戶的的上網(wǎng)行為，在加強(qiáng)安全防護(hù)的同時(shí)也可以提高工作效率。主機(jī)安全監(jiān)控系統(tǒng)可以對(duì)內(nèi)部人員上網(wǎng)行為日志、客戶端訪問行為、終端行為日志、醫(yī)院IT開發(fā)運(yùn)維人員訪問行為等信息進(jìn)行監(jiān)控、記錄、審計(jì)能力，結(jié)合日志數(shù)據(jù)挖掘技術(shù)和關(guān)聯(lián)分析功能，實(shí)現(xiàn)對(duì)非法行為的實(shí)時(shí)告警，輸出符合醫(yī)院紀(jì)委監(jiān)察部門要求的完整的事件報(bào)告，既能夠及時(shí)發(fā)現(xiàn)并阻斷非法行為，也可以監(jiān)控某些人員利用其特權(quán)對(duì)敏感數(shù)據(jù)進(jìn)行非法復(fù)制。(5)數(shù)據(jù)備份為了防止信息系統(tǒng)中的數(shù)據(jù)丟失，可以采用雙機(jī)備份方式。兩臺(tái)服務(wù)器采用相同的配置，安裝相同的系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，實(shí)時(shí)將主服務(wù)器上數(shù)據(jù)庫備份到備用服務(wù)器上，當(dāng)主服務(wù)器無法正常工作時(shí)，啟用備用服務(wù)器項(xiàng)替工作，同時(shí)信息系統(tǒng)管理部門可以采用一些有關(guān)的備份軟件對(duì)其醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的數(shù)據(jù)進(jìn)行及時(shí)的監(jiān)測(cè)，當(dāng)這些數(shù)據(jù)出現(xiàn)安全方面的問題時(shí)，及時(shí)對(duì)其數(shù)據(jù)進(jìn)行備份；此外，也可采用實(shí)時(shí)備份數(shù)據(jù)庫，采用數(shù)據(jù)鏡像增量備份方式。(6)定期進(jìn)行安全分析，對(duì)新發(fā)現(xiàn)的安全隱患進(jìn)行整改運(yùn)用技術(shù)手段定期進(jìn)行安全分析，及時(shí)發(fā)現(xiàn)安全隱患并快速清除是完善醫(yī)院網(wǎng)絡(luò)安全管理的重要措施。定期進(jìn)行安全分析是研究信息系統(tǒng)是否存在的漏洞缺陷，是否存在風(fēng)險(xiǎn)與威脅，針對(duì)發(fā)現(xiàn)的安全隱患，制定出相應(yīng)的控制策略，主要是從軟件設(shè)置、物理環(huán)境、電源配送、權(quán)限分配、網(wǎng)絡(luò)管理、防火、防水、防盜、服務(wù)器交換機(jī)管理、溫度濕度粉塵、人員培訓(xùn)及安全教育等各方面進(jìn)行分析，尋找出當(dāng)前的安全隱患，針對(duì)這些隱患提出有針對(duì)性的解決方案。

1.2防止外來入侵

(1)中心機(jī)房管理作為醫(yī)院信息系統(tǒng)的“神經(jīng)中樞”及數(shù)據(jù)存儲(chǔ)中心的機(jī)房安全是整個(gè)信息系統(tǒng)安全的前提，中心機(jī)房的安全應(yīng)注意機(jī)房用電安全技術(shù)、防火、計(jì)算機(jī)設(shè)備及場(chǎng)地的防雷和計(jì)算機(jī)機(jī)房的場(chǎng)地環(huán)境的要求等問題，為了避免人為或自然破壞設(shè)備，應(yīng)盡可能保證各通信設(shè)備及相關(guān)設(shè)施的物理安全，使系統(tǒng)和設(shè)備處于良好的工作環(huán)境，對(duì)于信息網(wǎng)絡(luò)的可靠性，可以通過冗余技術(shù)實(shí)現(xiàn)，包括設(shè)備冗余、處理器冗余、鏈路冗余、模塊冗余、電源冗余等技術(shù)來實(shí)現(xiàn)。(2)計(jì)算機(jī)病毒防護(hù)杜絕病毒傳染源是防范病毒最有效的辦法，除特殊科室需要外，將所有網(wǎng)絡(luò)工作站的外部輸入設(shè)備(如光驅(qū)、軟驅(qū)等)撤除，所有內(nèi)網(wǎng)的計(jì)算機(jī)不準(zhǔn)接U盤，在服務(wù)器及每個(gè)工作站點(diǎn)采用多層的病毒防衛(wèi)體系，此外，還可以使用桌面管理軟件來自動(dòng)從系統(tǒng)廠商下載補(bǔ)丁，自動(dòng)檢查客戶端需要安裝的補(bǔ)丁、已經(jīng)安裝的補(bǔ)丁和未安裝的補(bǔ)丁，以及限制或禁止移動(dòng)存儲(chǔ)介質(zhì)的接入，減少病毒傳播的途徑，從而減少醫(yī)院網(wǎng)絡(luò)受到病毒的威脅。(3)防止黑客入侵防止黑客入侵是醫(yī)院網(wǎng)絡(luò)安全工作的重點(diǎn)，可以采用防火墻技術(shù)、身份認(rèn)證與授權(quán)技術(shù)等技術(shù)防止黑客入侵。其中，防火墻技術(shù)是在醫(yī)院內(nèi)部網(wǎng)和醫(yī)院外部網(wǎng)之間的界面上構(gòu)造一個(gè)保護(hù)層，對(duì)出入醫(yī)院網(wǎng)絡(luò)的訪問和服務(wù)進(jìn)行審計(jì)和控制；在防火墻基礎(chǔ)上，建立黑客入侵檢測(cè)系統(tǒng)，對(duì)黑客入侵、非法登錄、DDOS攻擊、病毒感染與傳播、非法外連等進(jìn)行監(jiān)控，對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)通訊通道等進(jìn)行監(jiān)控，詳細(xì)掌控各類網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)，實(shí)時(shí)監(jiān)督分析通道質(zhì)量狀況，對(duì)各類終端用戶的補(bǔ)丁安裝、軟件安裝、外接設(shè)備(U盤)等操作進(jìn)行實(shí)時(shí)監(jiān)控管理，發(fā)現(xiàn)有違規(guī)行為及時(shí)報(bào)警，也可以自動(dòng)啟動(dòng)阻止機(jī)制來控制非法行為；在醫(yī)院信息系統(tǒng)中，采用數(shù)字簽名技術(shù)實(shí)現(xiàn)系統(tǒng)信息內(nèi)容安全性，完整性和不可抵賴性等方面的要求，特別是通過采用安全審計(jì)或時(shí)間戳等技術(shù)手段解決傳統(tǒng)紙質(zhì)病歷無法解決的信息可靠性問題，此外，還采用信息加密技術(shù)可以有效的保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。

篇（10）

1.2目前醫(yī)院計(jì)算機(jī)和網(wǎng)絡(luò)的隱患正因?yàn)樗牟豢苫蛉保杂?jì)算機(jī)網(wǎng)絡(luò)的良性安全運(yùn)行更加重要。在新形勢(shì)下，醫(yī)院計(jì)算機(jī)及網(wǎng)絡(luò)確實(shí)在操作和運(yùn)行上存在著巨大的隱患，一旦出現(xiàn)問題，輕則計(jì)算機(jī)系統(tǒng)崩潰，重則影響到醫(yī)院的正常運(yùn)行。

（1）硬件損壞。主要是不能及時(shí)維修、清洗計(jì)算機(jī)，或是維護(hù)計(jì)算機(jī)的時(shí)候方法不得當(dāng)，導(dǎo)致計(jì)算機(jī)硬件造成損害。

（2）系統(tǒng)不及時(shí)升級(jí)。系統(tǒng)不能及時(shí)升級(jí)可以造成系統(tǒng)的運(yùn)行不暢或資料無法編輯，醫(yī)院有很多重要數(shù)據(jù)就是因?yàn)橄到y(tǒng)存在的瑕疵而癱瘓。

（3）計(jì)算機(jī)病毒。自從計(jì)算機(jī)網(wǎng)絡(luò)誕生那一天起，計(jì)算機(jī)病毒就伺機(jī)侵害電腦系統(tǒng)，監(jiān)控不力或是惡意入侵，都會(huì)造成病毒透過計(jì)算機(jī)漏洞侵入。它會(huì)造成電腦屏幕異常，網(wǎng)絡(luò)傳遞缺失，死機(jī)，整個(gè)系統(tǒng)崩潰等惡劣后果。

（4）信息泄密。醫(yī)院自身具有隱私性的，病人的資料和信息是保密的，而有關(guān)專業(yè)領(lǐng)域的知識(shí)也是的。當(dāng)計(jì)算機(jī)遭到外網(wǎng)侵入，自然會(huì)造成信息的泄密，從而導(dǎo)致醫(yī)院的損失和信用度下降。因此，安全管理網(wǎng)絡(luò)變得愈發(fā)重要。

（5）人為維護(hù)意思淡薄。主要是醫(yī)院工作人員的責(zé)任心和安全意識(shí)缺乏，對(duì)計(jì)算機(jī)的硬件和軟件隨意進(jìn)行破壞。

二、醫(yī)院計(jì)算機(jī)的維護(hù)手段醫(yī)療領(lǐng)域的信息的存儲(chǔ)、運(yùn)行和交互都需要計(jì)算機(jī)，那么在發(fā)現(xiàn)如此多的隱患時(shí)，關(guān)于計(jì)算機(jī)的維護(hù)就變得尤為重要。

（1）計(jì)算機(jī)的保養(yǎng)。任何物品要想延長使用壽命都要小心呵護(hù)，計(jì)算機(jī)也不例外，對(duì)于計(jì)算機(jī)的保養(yǎng)，應(yīng)當(dāng)及時(shí)擦拭，用專用的刷子沁入清潔劑進(jìn)行硬件的維護(hù)。經(jīng)常對(duì)屏幕進(jìn)行保養(yǎng)，還有就是室內(nèi)的線路、環(huán)境及時(shí)整理和清潔，保證計(jì)算機(jī)處于一個(gè)穩(wěn)定舒適的狀態(tài)下。

（2）軟件的防護(hù)。主要是應(yīng)對(duì)計(jì)算機(jī)上的系統(tǒng)、程序和數(shù)據(jù)進(jìn)行定期的維護(hù)和升級(jí)，對(duì)于重要數(shù)據(jù)應(yīng)當(dāng)妥善處理并且加以備份，保證它們不會(huì)被遺忘和丟失。

（3）計(jì)算機(jī)知識(shí)的普及。既然是信息化的醫(yī)院，那么工作人員對(duì)于電腦知識(shí)的學(xué)習(xí)是必要的。應(yīng)該號(hào)召全醫(yī)院進(jìn)行計(jì)算機(jī)的學(xué)習(xí)，從人為角度維護(hù)計(jì)算機(jī)的性能、工作和安全。

三、安全管理計(jì)算機(jī)網(wǎng)絡(luò)如果沒有網(wǎng)絡(luò)，計(jì)算機(jī)只是一臺(tái)笨拙的大型筆記本，網(wǎng)絡(luò)決定著醫(yī)院信息和數(shù)據(jù)的交互和探討，所以如何管理網(wǎng)絡(luò)是決定整個(gè)醫(yī)院正常運(yùn)行的關(guān)鍵所在。

3.1加強(qiáng)網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全與否體現(xiàn)著醫(yī)院價(jià)值。一旦網(wǎng)絡(luò)遭到入侵或是變更，那么醫(yī)院的價(jià)值會(huì)受到貶損，權(quán)威性和安全性都會(huì)下降。網(wǎng)絡(luò)安全的加強(qiáng)，需要的是高監(jiān)控的管理和數(shù)據(jù)加密，高監(jiān)控主要是網(wǎng)絡(luò)防火墻的使用和病毒查殺軟件的安裝，首先得保證這些軟件本身的安全性，能抵御外網(wǎng)的入侵和黑客的攻擊；而數(shù)據(jù)加密則是通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)和有關(guān)信息重新編輯，利用信息隱藏功能讓非法用戶獲取不到醫(yī)院信息的內(nèi)容，這一技術(shù)可以有效地防止醫(yī)院機(jī)密數(shù)據(jù)的泄露，保障醫(yī)院網(wǎng)絡(luò)的安全運(yùn)行。

3.2網(wǎng)絡(luò)制度和規(guī)章的建立應(yīng)該規(guī)定醫(yī)院系統(tǒng)的網(wǎng)絡(luò)登錄必須設(shè)置登錄賬號(hào)，配合身份權(quán)限才能登陸，避免非法分子竊取相關(guān)信息，避免外部端口的接入防止不良信息侵害系統(tǒng)內(nèi)部，影響網(wǎng)絡(luò)安全。科學(xué)合理的落實(shí)各項(xiàng)制度和規(guī)章建設(shè)，并且應(yīng)當(dāng)做好防控和布控工作，避免網(wǎng)絡(luò)出現(xiàn)非常情況下的失聯(lián)或是混亂。醫(yī)院有醫(yī)療規(guī)章，更需要有計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)規(guī)章，從制度加強(qiáng)網(wǎng)絡(luò)安全就是從根本上消除醫(yī)院網(wǎng)絡(luò)的潛在危險(xiǎn)性。

3.3計(jì)算機(jī)維護(hù)小組和專業(yè)技術(shù)人員的設(shè)立在加強(qiáng)整個(gè)醫(yī)院的計(jì)算機(jī)及網(wǎng)絡(luò)安全維護(hù)意識(shí)的同時(shí)，更應(yīng)該聘請(qǐng)專家團(tuán)隊(duì)，組成計(jì)算機(jī)維護(hù)中心，讓有這方面專長的人員隨時(shí)為計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)的問題作出檢測(cè)和解決方案，同時(shí)可以負(fù)責(zé)日常的計(jì)算機(jī)保養(yǎng)和維護(hù)。例如：可以讓專業(yè)技術(shù)人員加強(qiáng)相關(guān)網(wǎng)絡(luò)設(shè)備使用人員的安全防范意識(shí)，并教他們正確的使用方法，通過技術(shù)維護(hù)和管理防范的結(jié)合對(duì)整個(gè)醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行有效的維護(hù)。

篇（11）

由于計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)初衷是資源共享、分散控制、分組交換，這決定了互聯(lián)網(wǎng)具有大跨度、分布式、無邊界的特征。這種開放性使黑客可以輕而易舉地進(jìn)入各級(jí)網(wǎng)絡(luò)，并將破壞行為迅速地在網(wǎng)絡(luò)中傳播。同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)還有著自然社會(huì)中所不具有的隱蔽性：無法有效識(shí)別網(wǎng)絡(luò)用戶的真實(shí)身份；由于互聯(lián)網(wǎng)上信息以二進(jìn)制數(shù)碼，即數(shù)字化的形式存在，所以操作者能比較容易地在數(shù)據(jù)傳播過程中改變信息內(nèi)容。計(jì)算機(jī)網(wǎng)絡(luò)的傳輸協(xié)議及操作系統(tǒng)也存在設(shè)計(jì)上的缺陷和漏洞，從而導(dǎo)致各種被攻擊的潛在危險(xiǎn)層出不窮，這使網(wǎng)絡(luò)安全問題與傳統(tǒng)的各種安全問題相比面臨著更加嚴(yán)峻的挑戰(zhàn)，黑客們也正是利用這樣的特征研發(fā)出了各種各樣的攻擊和入侵方法：

1.通過偽裝發(fā)動(dòng)攻擊

利用軟件偽造IP包，把自己偽裝成被信任主機(jī)的地址，與目標(biāo)主機(jī)進(jìn)行會(huì)話，一旦攻擊者冒充成功，就可以在目標(biāo)主機(jī)并不知曉的情況下成功實(shí)施欺騙或入侵；或者，通過偽造IP地址、路由條目、DNS解析地址，使受攻擊服務(wù)器無法辨別這些請(qǐng)求或無法正常響應(yīng)這些請(qǐng)求，從而造成緩沖區(qū)阻塞或死機(jī)；或者，通過將局域網(wǎng)中的某臺(tái)機(jī)器IP地址設(shè)置為網(wǎng)關(guān)地址，導(dǎo)致網(wǎng)絡(luò)中數(shù)據(jù)包無法正常轉(zhuǎn)發(fā)而使某一網(wǎng)段癱瘓。

2.利用開放端口漏洞發(fā)動(dòng)攻擊

利用操作系統(tǒng)中某些服務(wù)開放的端口發(fā)動(dòng)緩沖區(qū)溢出攻擊。這主要是由于軟件中邊界條件、函數(shù)指針等方面設(shè)計(jì)不當(dāng)或缺乏限制，因而造成地址空間錯(cuò)誤的一種漏洞。利用軟件系統(tǒng)中對(duì)某種特定類型的報(bào)文或請(qǐng)求沒有處理，導(dǎo)致軟件遇到這種類型的報(bào)文時(shí)運(yùn)行出現(xiàn)異常，從而導(dǎo)致軟件崩潰甚至系統(tǒng)崩潰。

3.通過木馬程序進(jìn)行入侵或發(fā)動(dòng)攻擊

木馬是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)，一旦被成功植入到目標(biāo)主機(jī)中，計(jì)算機(jī)就成為黑客控制的傀儡主機(jī)，黑客成了超級(jí)用戶。木馬程序可以被用來收集系統(tǒng)中的重要信息，如口令、賬號(hào)、密碼等。此外，黑客可以遠(yuǎn)程控制傀儡主機(jī)對(duì)別的主機(jī)發(fā)動(dòng)攻擊，如DDoS攻擊就是大量傀儡主機(jī)接到攻擊命令后，同時(shí)向被攻擊目標(biāo)發(fā)送大量的服務(wù)請(qǐng)求數(shù)據(jù)包。

4.嗅探器和掃描攻擊

嗅探器是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。網(wǎng)絡(luò)嗅探器通過被動(dòng)地監(jiān)聽網(wǎng)絡(luò)通信、分析數(shù)據(jù)來非法獲得用戶名、口令等重要信息，它對(duì)網(wǎng)絡(luò)安全的威脅來自其被動(dòng)性和非干擾性，使得網(wǎng)絡(luò)嗅探具有很強(qiáng)的隱蔽性，往往讓網(wǎng)絡(luò)信息泄密變得不容易被發(fā)現(xiàn)。掃描，是指針對(duì)系統(tǒng)漏洞，對(duì)系統(tǒng)和網(wǎng)絡(luò)的遍歷搜尋行為。由于漏洞普遍存在，掃描手段往往會(huì)被惡意使用和隱蔽使用，探測(cè)他人主機(jī)的有用信息，作為實(shí)施下一步攻擊的前奏。

為了應(yīng)對(duì)不斷更新的網(wǎng)絡(luò)攻擊手段，網(wǎng)絡(luò)安全技術(shù)也經(jīng)歷了從被動(dòng)防護(hù)到主動(dòng)檢測(cè)的發(fā)展過程。主要的網(wǎng)絡(luò)安全技術(shù)包括：防火墻、VPN、防毒墻、入侵檢測(cè)、入侵防御、漏洞掃描。其中防病毒、防火墻和VPN屬早期的被動(dòng)防護(hù)技術(shù)，入侵檢測(cè)、入侵防

御和漏洞掃描屬主動(dòng)檢測(cè)技術(shù)，這些技術(shù)領(lǐng)域的研究成果已經(jīng)成為眾多信息安全產(chǎn)品的基礎(chǔ)。

二、網(wǎng)絡(luò)的安全策略分析

早期的網(wǎng)絡(luò)防護(hù)技術(shù)的出發(fā)點(diǎn)是首先劃分出明確的網(wǎng)絡(luò)邊界，然后通過在網(wǎng)絡(luò)邊界處對(duì)流經(jīng)的信息利用各種控制方法進(jìn)行檢查，只有符合規(guī)定的信息才可以通過網(wǎng)絡(luò)邊界，從而達(dá)到阻止對(duì)網(wǎng)絡(luò)攻擊、入侵的目的。主要的網(wǎng)絡(luò)防護(hù)技術(shù)包括：

1.防火墻

防火墻是一種隔離控制技術(shù)，通過預(yù)定義的安全策略，對(duì)內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制，常用的防火墻技術(shù)有包過濾技術(shù)、狀態(tài)檢測(cè)技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)。包過濾技術(shù)是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、以及包所使用的端口確定是否允許該類數(shù)據(jù)包通過；狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性；應(yīng)用網(wǎng)關(guān)技術(shù)在應(yīng)用層實(shí)現(xiàn)，它使用一個(gè)運(yùn)行特殊的“通信數(shù)據(jù)安全檢查”軟件的工作站來連接被保護(hù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)，其目的在于隱蔽被保護(hù)網(wǎng)絡(luò)的具體細(xì)節(jié)，保護(hù)其中的主機(jī)及其數(shù)據(jù)。

2.VPN

VPN（VirtualPrivateNetwork）即虛擬專用網(wǎng)絡(luò)，它是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)連接而成的邏輯上的虛擬子網(wǎng)。它可以幫助異地用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。為了保障信息的安全，VPN技術(shù)采用了鑒別、訪問控制、保密性和完整性等措施，以防止信息被泄露、篡改和復(fù)制。VPN技術(shù)可以在不同的傳輸協(xié)議層實(shí)現(xiàn)，如在應(yīng)用層有SSL協(xié)議，它廣泛應(yīng)用于Web瀏覽程序和Web服務(wù)器程序，提供對(duì)等的身份認(rèn)證和應(yīng)用數(shù)據(jù)的加密；在會(huì)話層有Socks協(xié)議，在該協(xié)議中，客戶程序通過Socks客戶端的1080端口透過防火墻發(fā)起連接，建立到Socks服務(wù)器的VPN隧道；在網(wǎng)絡(luò)層有IPSec協(xié)議，它是一種由IETF設(shè)計(jì)的端到端的確保IP層通信安全的機(jī)制，對(duì)IP包進(jìn)行的IPSec處理有AH（AuthenticationHeader）和ESP（EncapsulatingSecurityPayload）兩種方式。

3.防毒墻

防毒墻是指位于網(wǎng)絡(luò)入口處，用于對(duì)網(wǎng)絡(luò)傳輸中的病毒進(jìn)行過濾的網(wǎng)絡(luò)安全設(shè)備。防火墻能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流連接的合法性進(jìn)行分析，但它對(duì)從允許連接的電腦上發(fā)送過來的病毒數(shù)據(jù)流卻是無能為力的，因?yàn)樗鼰o法識(shí)別合法數(shù)據(jù)包中是否存在病毒這一情況；防毒墻則是為了解決防火墻這種防毒缺陷而產(chǎn)生的一種安全設(shè)備。防毒墻使用簽名技術(shù)在網(wǎng)關(guān)處進(jìn)行查毒工作，阻止網(wǎng)絡(luò)蠕蟲(Worm)和僵尸網(wǎng)絡(luò)(BOT)的擴(kuò)散。此外，管理人員能夠定義分組的安全策略，以過濾網(wǎng)絡(luò)流量并阻止特定文件傳輸、文件類型擴(kuò)展名、即時(shí)通信信道、批量或單獨(dú)的IP/MAC地址，以及TCP/UDP端口和協(xié)議。

三、網(wǎng)絡(luò)檢測(cè)技術(shù)分析

人們意識(shí)到僅僅依靠防護(hù)技術(shù)是無法擋住所有攻擊，于是以檢測(cè)為主要標(biāo)志的安全技術(shù)應(yīng)運(yùn)而生。這類技術(shù)的基本思想是通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊。包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)。主要的網(wǎng)絡(luò)安全檢測(cè)技術(shù)有：

1.入侵檢測(cè)

入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem,IDS）是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完整性或可用的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)來識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動(dòng)。作為防火墻的有效補(bǔ)充，入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付已知和未知網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

2.入侵防御

入侵防御系統(tǒng)（IntrusionPreventionSystem,IPS）則是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)。IPS是基于IDS的、建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù)，IPS的檢測(cè)功能類似于IDS，防御功能類似于防火墻。IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動(dòng)地檢測(cè)網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限；而IPS部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。可以認(rèn)為IPS就是防火墻加上入侵檢測(cè)系統(tǒng)，但并不是說IPS可以代替防火墻或入侵檢測(cè)系統(tǒng)。防火墻是粒度比較粗的訪問控制產(chǎn)品，它在基于TCP/IP協(xié)議的過濾方面表現(xiàn)出色，同時(shí)具備網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)、流量統(tǒng)計(jì)、VPN等功能。

3.漏洞掃描

漏洞掃描技術(shù)是一項(xiàng)重要的主動(dòng)防范安全技術(shù)，它主要通過以下兩種方法來檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等，若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。發(fā)現(xiàn)系統(tǒng)漏洞的一種重要技術(shù)是蜜罐(Honeypot)系統(tǒng)，它是故意讓人攻擊的目標(biāo)，引誘黑客前來攻擊。通過對(duì)蜜罐系統(tǒng)記錄的攻擊行為進(jìn)行分析，來發(fā)現(xiàn)攻擊者的攻擊方法及系統(tǒng)存在的漏洞。

四、結(jié)語

盡管傳統(tǒng)的安全技術(shù)在保障網(wǎng)絡(luò)安全方面發(fā)揮了重要作用，但在一個(gè)巨大、開放、動(dòng)態(tài)和復(fù)雜的互聯(lián)網(wǎng)中技術(shù)都存在著各種各樣的局限性。安全廠商在疲于奔命的升級(jí)產(chǎn)品的檢測(cè)數(shù)據(jù)庫，系統(tǒng)廠商在疲于奔命的修補(bǔ)產(chǎn)品漏洞，而用戶也在疲于奔命的檢查自己到底還有多少破綻暴露在攻擊者的面前。傳統(tǒng)的防病毒軟件只能用于防范計(jì)算機(jī)病毒，防火墻只能對(duì)非法訪問通信進(jìn)行過濾，而入侵檢測(cè)系統(tǒng)只能被用來識(shí)別特定的惡意攻擊行為。在一個(gè)沒有得到全面防護(hù)的計(jì)算機(jī)設(shè)施中，安全問題的炸彈隨時(shí)都有爆炸的可能。用戶必須針對(duì)每種安全威脅部署相應(yīng)的防御手段，這樣使信息安全工作的復(fù)雜度和風(fēng)險(xiǎn)性都難以下降。為了有效地解決日益突出的網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全研究人員和網(wǎng)絡(luò)安全企業(yè)也不斷推出新的網(wǎng)絡(luò)安全技術(shù)和安全產(chǎn)品。

參考文獻(xiàn):

[1]周碧英:淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[J].甘肅科技,2008,24(3):18～19

[2]潘號(hào)良:面向基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全措施探討[J].軟件導(dǎo)刊,2008,(3):74～75