【正文】 ....................30計算機網(wǎng)絡(luò)安全的研究與探討摘 要：當(dāng)人類步入 21 世紀這一信息社會、網(wǎng)絡(luò)社會的時候，我國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。 ................................................................................................................1大量使用數(shù)據(jù)加密技術(shù)。 ........................................................................................................1網(wǎng)絡(luò)病毒的防范。在信息時代，信息可以幫助團體或個人，使他們受益，同樣，信息也可以用來對他們構(gòu)成威脅，造成破壞。關(guān)鍵字：網(wǎng)絡(luò)安全體系 攻擊 管理ABSTRACTWhen humans get into 21st century which is an information and work society. Our country will set up an integral work security system, especially from policy and legal establishing a work security system with Chinese characteristic from policy and legal. In the information age , it can help groups or individuals to make them benefit. Also information can all be used to pose a threat to them, causing destruction. Therefore work security including position work system hardware, software and its information safety transfering over a work , and make it not be attacked to destroyed thanks to accidental or malicious. Network security both have technical problems, also have management problems and two aspects affect each other, and cannot be lack of one.Key Words: Network security system、attacke、management一、計算機網(wǎng)絡(luò)安全、何為計算機網(wǎng)絡(luò)安全計算機網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施，保證在一個網(wǎng)絡(luò)環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護。計算機網(wǎng)絡(luò)安全不僅包括組網(wǎng)的硬件、管理控制網(wǎng)絡(luò)的軟件，也包括共享的資源，快捷的網(wǎng)絡(luò)服務(wù)，所以定義網(wǎng)絡(luò)安全應(yīng)考慮涵蓋計算機網(wǎng)絡(luò)所涉及的全部內(nèi)容。比如：從用戶（個人、企業(yè)）等的角度來說，他們都希望凡是涉及到個人的隱私或是商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時能夠得到機密性、完整性和真實性的保護，避免其他人或?qū)κ掷酶`聽、冒充、篡改、抵賴等非法手段去侵犯用戶的利益和隱私問題。、研究計算機網(wǎng)絡(luò)安全的目的隨著現(xiàn)在計算機網(wǎng)絡(luò)的發(fā)展，隨之出現(xiàn)種種網(wǎng)絡(luò)問題不斷的不斷的威脅著國家利益以及個人利益。黑客攻擊行為組織性更強，攻擊目標從單純的追求榮耀感向獲取多方面實際利益的方向轉(zhuǎn)移（如：經(jīng)濟利益） ，網(wǎng)上木馬、間諜程序、惡意網(wǎng)站、網(wǎng)絡(luò)仿冒等的出現(xiàn)和日趨泛濫。、計算機網(wǎng)絡(luò)現(xiàn)今所面臨的威脅計算機網(wǎng)絡(luò)所面臨的威脅是多方面的，既包括對網(wǎng)絡(luò)中信息的威脅，也包括對網(wǎng)絡(luò)中設(shè)備的威脅，歸結(jié)起來，主要有三點：、人為的無意失誤如操作員安全配置不當(dāng)造成系統(tǒng)存在安全漏洞，用戶安全意識不強，口令選擇不慎，將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會給網(wǎng)絡(luò)安全帶來威脅。此外，軟件公司的編程人員為便于維護而設(shè)置的軟件后門也是不容忽視的巨大威脅，一旦后門洞開，別人就能隨意進入系統(tǒng)，后果不堪設(shè)想。（2）電腦黑客活動已形成首要威脅。面對信息安全的嚴峻形勢，我國的網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力存在許多的薄弱環(huán)節(jié)，并且與發(fā)達國家相比仍有一定的差距。該市某公司的鏡像網(wǎng)站在 10 月份 1 個月內(nèi)，就遭到從外部 100 多個 IP 地址發(fā)起的惡意攻擊。諸如，以達賴為首的藏獨分子、在前段時間出現(xiàn)的“全能神”邪教組織，都在不斷的通過網(wǎng)絡(luò)，以到達他們的目的。計算機安全存在三大黑洞：CPU芯片、操作系統(tǒng)和數(shù)據(jù)庫、網(wǎng)關(guān)軟件大多依賴進口。由于缺乏自主技術(shù)，我國的網(wǎng)絡(luò)處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中，網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。與此同時，網(wǎng)絡(luò)經(jīng)營者和機構(gòu)用戶注重的是網(wǎng)絡(luò)效應(yīng)，對安全領(lǐng)域的投入和管理遠遠不能滿足安全防范的要求。有關(guān)信息安全的政策、計劃和管理手段等最終都會在運行管理機制上體現(xiàn)出來。信息安全技術(shù)管理方面的人才無論是數(shù)量還是水平，都無法適應(yīng)信息安全形勢的需要。當(dāng)廠商發(fā)布補丁或升級軟件來解決安全問題時，許多用戶的系統(tǒng)不進行同步升級，原因是管理者未充分意識到網(wǎng)絡(luò)不安全的風(fēng)險所在，未引起重視?；ヂ?lián)網(wǎng)的不安全性主要有以下幾項： 1）網(wǎng)絡(luò)的開放性，網(wǎng)絡(luò)的技術(shù)是全開放的，使得網(wǎng)絡(luò)所面臨的攻擊來自多方面。、操作系統(tǒng)存在的安全問題操作系統(tǒng)是作為一個支撐軟件，使得你的程序或別的運用系統(tǒng)在上面正常運行的一個環(huán)境。操作系統(tǒng)本身有內(nèi)存管理、CPU 管理、外設(shè)的管理，每個管理都涉及到一些模塊或程序，如果在這些程序里面存在問題，比如內(nèi)存管理的問題，外部網(wǎng)絡(luò)的一個連接過來，剛好連接一個有缺陷的模塊，可能出現(xiàn)的情況是，計算機系統(tǒng)會因此崩潰。像這些遠程調(diào)用、文件傳輸，如果生產(chǎn)廠家或個人在上面安裝間諜程序，那么用戶的整個傳輸過程、使用過程都會被別人監(jiān)視到，所有的這些傳輸文件、加載的程序、安裝的程序、執(zhí)行文件，都可能給操作系統(tǒng)帶來安全的隱患。 4）操作系統(tǒng)有些守護進程，它是系統(tǒng)的一些進程，總是在等待某些事件的出現(xiàn)。 5）操作系統(tǒng)會提供一些遠程調(diào)用功能，所謂遠程調(diào)用就是一臺計算機可以調(diào)用遠程一個大型服務(wù)器里面的一些程序，可以提交程序給遠程的服務(wù)器執(zhí)行，如 tel。在軟件開發(fā)階段，程序員利用軟件的后門程序得以便利修改程序設(shè)計中的不足。當(dāng)發(fā)現(xiàn)問題到升級這段時間，一個小小的漏洞就足以使你的整個網(wǎng)絡(luò)癱瘓掉。創(chuàng)建進程。操作系統(tǒng)為維護方便而預(yù)留的無口令入口和提供的遠程過程調(diào)用(RPC)服務(wù)都是黑客進入系統(tǒng)的通道。例如：授權(quán)用戶超出了訪問權(quán)限進行數(shù)據(jù)的更改活動；非法用戶繞過安全內(nèi)核，竊取信息。黑客通過探訪工具可強行登錄或越權(quán)使用數(shù)據(jù)庫數(shù)據(jù)，可能會帶來巨大損失；數(shù)據(jù)加密往往與 DBMS 的功能發(fā)生沖突或影響數(shù)據(jù)庫的運行效率。并不要指望防火墻靠自身就能夠給予計算機安全。這就是防火墻的局限性。、數(shù)據(jù)的可訪問性進入系統(tǒng)的用戶可方便地復(fù)制系統(tǒng)數(shù)據(jù)而不留任何痕跡；網(wǎng)絡(luò)用戶在一定的條件下，可以訪問系統(tǒng)中的所有數(shù)據(jù)，并可將其復(fù)制、刪除或破壞掉。此外，網(wǎng)絡(luò)系統(tǒng)的脆弱性還表現(xiàn)為保密的困難性、介質(zhì)的剩磁效應(yīng)和信息的聚生性等。蜜罐好像是故意讓人攻擊的目標，引誘黑客前來攻擊。 網(wǎng)絡(luò)隔離技術(shù)的目標是確保把有害的攻擊隔離，在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)間數(shù)據(jù)的安全交換。1997 年，信息安全專家 Mark Joseph Edwards 在他編寫的《Understanding Network Security》一書中，他就對協(xié)議隔離進行了歸類。也就是說至少要由兩套主機系統(tǒng)組成，一套控制著外網(wǎng)的接口，另一套控制著內(nèi)網(wǎng)的接口，然后在兩套主機系統(tǒng)之間通過不可路由的協(xié)議進行數(shù)據(jù)交換，如此，既便是黑客攻破了外網(wǎng)系統(tǒng)，仍然無法控制內(nèi)網(wǎng)系統(tǒng)，就達到了更高的安全級別。要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù)既然要達到網(wǎng)絡(luò)隔離，就必須做到徹底防范基于網(wǎng)絡(luò)協(xié)議的攻擊，即不能夠讓網(wǎng)絡(luò)層的攻擊包到達要保護的網(wǎng)絡(luò)中，所以就必須進行協(xié)議分析，完成應(yīng)用層數(shù)據(jù)的提取，然后進行數(shù)據(jù)交換，這樣就把諸如 Land、Smurf 和 SYN Flood 等網(wǎng)絡(luò)攻擊包，徹底地阻擋在了可信網(wǎng)絡(luò)之外，從而明顯地增強了可信網(wǎng)絡(luò)的安全性。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。 、網(wǎng)絡(luò)病毒的防范。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進行信息交換，還需要一套基于郵件服務(wù)器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。構(gòu)建全球化的信息網(wǎng)絡(luò)平臺已經(jīng)成為了當(dāng)今計算機網(wǎng)絡(luò)發(fā)展的共識，實現(xiàn)這一目標的最根本支撐點，就是強大的網(wǎng)絡(luò)安全保障，因此，針對各種安全隱患而采取的網(wǎng)絡(luò)安全對策顯得尤為重要，應(yīng)當(dāng)引起廣大信息使用者的廣泛關(guān)注。 圖 1—3防火墻是目前最為流行、使用最廣泛的一種網(wǎng)絡(luò)安全技術(shù)，它的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。防火墻的體系結(jié)構(gòu)有三種：（1）雙重宿主主機體系結(jié)構(gòu)。對于只進行 IP 層過濾的安全要求來說，只需在兩塊網(wǎng)卡之間轉(zhuǎn)發(fā)的模塊上插入對IP 包的 ACL 控制即可。相對于雙重宿主主機體系結(jié)構(gòu)，這種結(jié)構(gòu)允許數(shù)據(jù)包從 Inter 上進入內(nèi)部網(wǎng)絡(luò)，因此對路由器的配置要求較高。用防火墻來實現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓撲結(jié)構(gòu)： （1）屏蔽路由器：又稱包過濾防火墻。 根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。入侵檢測被認為 是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。 （2）信息分析：收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術(shù)手段進行分析：模式匹配、統(tǒng)計分析和完整性分析。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統(tǒng)計分析、操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別。根據(jù)不同的檢測方法，將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。常用的具體方法有：統(tǒng)計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網(wǎng)絡(luò)異常檢測方法、基于模式預(yù)測異常檢測方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法、基于機器學(xué)習(xí)異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等。合適的參考閾值的選定是決定這一檢測方法準確率的至關(guān)重要的因素。誤用檢測又稱為基于知識的檢測。常用的具體方法有：基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法、基于狀態(tài)遷移分析誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法、基于模型誤用入侵檢測方法。這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助，而且對即將發(fā)生的入侵也有預(yù)警作用。但是它也存在一些缺點，如未知的入侵方法就不能進行有效的檢測，對于不同實現(xiàn)機制的操作系統(tǒng)，由于攻擊的方法不盡相同，很難定義出統(tǒng)一的模式庫等。包括： 1．通信伙伴認證 通信伙伴認證服務(wù)的作用是通信伙伴之間相互確身認份，防止他人插入通信過程。 通信伙伴認