【正文】 使發(fā)生系統(tǒng)災(zāi)難，也能快速地恢復(fù)系統(tǒng)和數(shù)據(jù)， 才能完整地保護(hù)網(wǎng)絡(luò)信息系統(tǒng)的安全。數(shù)據(jù)容災(zāi)通過 IP 容災(zāi)技術(shù)來保證數(shù)據(jù)的安全。 集群技術(shù)是一種系統(tǒng)級(jí)的系統(tǒng)容錯(cuò)技術(shù)，通過對(duì)系統(tǒng)的整體冗余和容錯(cuò)來解決系統(tǒng)任何部件失 效而引起的系統(tǒng)死機(jī)和不可用問題。隨著存儲(chǔ)網(wǎng)絡(luò)化時(shí)代的發(fā)展，傳統(tǒng)的功能單一的存儲(chǔ)器，將越來越讓位于一體化的多功能網(wǎng)絡(luò)存儲(chǔ)器。 典型的 IDS 系統(tǒng)模型包括 4 個(gè)功能部件： 〔 1〕 事件產(chǎn)生器，提供事件記錄流的信息源。 入侵檢測系統(tǒng)的分類 入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)來源不同，可分為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機(jī)的入侵檢測系統(tǒng)。 入侵檢測系統(tǒng)根據(jù)檢測的方法不同可分為兩大類：異常和誤用。對(duì)這種攻擊可以使用這種 檢測方法。 〔 2〕 缺乏主動(dòng)防御功能 入侵檢測技術(shù)作為一種被動(dòng)且功能有限的安全防御技術(shù)，缺乏主動(dòng)防御功能。 當(dāng)我們實(shí)現(xiàn)防火墻與入侵檢測系統(tǒng)的相互聯(lián)動(dòng)后， IDS 就不必為它所連接的鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量。 綜上所述，防火墻與 IDS 在功能上可以形成互補(bǔ)關(guān)系。在未來的網(wǎng)絡(luò)安全領(lǐng)域中，動(dòng)態(tài)技術(shù)與靜態(tài)技 術(shù)的聯(lián)動(dòng)將有很大的發(fā)展市場和空間。掃描程序開發(fā)者利用可得到的攻擊方法，并把它們集成到整個(gè)掃描中，掃描后以統(tǒng)計(jì)的格式輸出，便于參考和分析。 〔 2〕 運(yùn)行安全方面 :網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。 計(jì)算機(jī)網(wǎng)絡(luò)安全是個(gè)綜合性和復(fù)雜性的 問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。它包括要防范那些聰明的， 計(jì)算機(jī)網(wǎng)絡(luò)安全與防范 通常也是狡猾的、專業(yè)的，并且在時(shí)間和金錢上是很充足、富有的人。 由于設(shè)計(jì)的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響。網(wǎng)絡(luò)應(yīng)用的需求沒有引起足夠的重視，設(shè)計(jì)和選型考慮欠周密，從而使網(wǎng)絡(luò)功能發(fā)揮受阻，影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級(jí)換代。 〔 4〕 訪問控制配置的復(fù)雜性，容易導(dǎo)致配置錯(cuò)誤，從而給他人以可乘之機(jī)。 從實(shí)用的角度出發(fā)，目前人們已提出了一些基于人工智能的網(wǎng)絡(luò)安全檢測專家系統(tǒng)。 感謝參考文獻(xiàn)中的各位作者，真誠的感謝對(duì)我的幫助。同時(shí)，基于主動(dòng)網(wǎng)絡(luò)安全檢測的安全系統(tǒng)的研究也已起步，在這方面， Inter Security Systems 也已有一些產(chǎn)品問世。 工作展望 [7]對(duì)網(wǎng)絡(luò)安全本質(zhì)的認(rèn)識(shí)卻還處于一個(gè)相 當(dāng)原始的階段，其表現(xiàn)形式是基于密碼術(shù)的網(wǎng)絡(luò)安全和基于防火墻的網(wǎng)絡(luò)安全尚不能完美地結(jié)合成一種更加有效的安全機(jī)制。 〔 3〕 缺乏安全策略。 一是文件 服務(wù)器。對(duì)于這一問題我們應(yīng)該十分重視。 大多數(shù)安全性問題 的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。 網(wǎng)絡(luò)安全孕育著無限的機(jī)遇和挑戰(zhàn)，作為一個(gè)熱門的研究領(lǐng)域和其擁有的重要戰(zhàn)略意義，相信未來網(wǎng)絡(luò)安全技術(shù)將會(huì)取得更加長足的發(fā)展。 〔 3〕 防電磁輻射方面 :所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機(jī)。通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴(kuò) 散出去的空間信號(hào)。這項(xiàng)技術(shù)的具體實(shí)現(xiàn)就是安全掃描程序。使網(wǎng)絡(luò)的防御安全能力大大提高。 IDS 可以有足夠 的時(shí)間和資源做些有效的防御工作，如入侵活動(dòng)報(bào)警、不同業(yè)務(wù)類別的網(wǎng)絡(luò)流量統(tǒng)計(jì)、網(wǎng)絡(luò)多種流量協(xié)議恢復(fù)（實(shí)時(shí)監(jiān)控功能）等。 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動(dòng) 防火墻是一個(gè)跨接多個(gè)物理網(wǎng)段的網(wǎng)絡(luò)安全關(guān)口設(shè)備。 〔 1〕 高誤報(bào)率 誤報(bào)率主要存在于兩個(gè)方面：一方面是指正常請求誤認(rèn)為入侵行為；另一方面是指對(duì) IDS 用戶不關(guān)心事件的報(bào)警。 誤用入侵檢測通過檢查對(duì)照已有的攻擊特征、定義攻擊模式、比較用戶的活動(dòng)來了解 計(jì)算機(jī)網(wǎng)絡(luò)安全與防范 入侵。一般來說，網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)絡(luò)的任務(wù)。 〔 3〕 響應(yīng)單元，這是基于分析引擎的分析結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件 。通過檢測網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或 異常行為，入侵檢測系統(tǒng)可以及時(shí)發(fā)現(xiàn)攻擊或異常行為并進(jìn)行阻斷、記錄、報(bào)警等響應(yīng)，從而將攻擊行為帶來的破壞和影響降至最低。其中異地集群網(wǎng)絡(luò)的容災(zāi)性是最好的。本地存儲(chǔ)器供本地備份系統(tǒng)使用，異地容災(zāi)備份存儲(chǔ)器實(shí)時(shí)復(fù)制本地備份存儲(chǔ)器的關(guān)鍵數(shù)據(jù)。數(shù)據(jù)備份是數(shù)據(jù)保護(hù)的最后屏障，不允許有任何閃失。因?yàn)槿魏我环N網(wǎng)絡(luò)安全設(shè)施都不可能做到萬無一失， 一旦發(fā)生漏防漏檢事件， 其后果將是災(zāi)難性的。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。數(shù)據(jù) 存儲(chǔ)加密技術(shù)是以防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲(chǔ)和存取控制兩種 。要保證企業(yè)內(nèi) 計(jì)算機(jī)網(wǎng)絡(luò)安全與防范 部網(wǎng)的安全，還需通過對(duì)內(nèi)部網(wǎng)絡(luò)的有效控制和管理來實(shí)現(xiàn)?？梢灶A(yù)見防火墻技術(shù)作為一種簡單實(shí)用的網(wǎng)絡(luò)信息安全技術(shù)將得到進(jìn)一步發(fā)展。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的 通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。 〔 5〕 遠(yuǎn)程撥號(hào)服務(wù)器與骨干交換機(jī)或路由器之間。 〔 1〕 防火墻的位置一般是內(nèi)網(wǎng)與外網(wǎng)的接合處，用來阻止來自外部網(wǎng)絡(luò)的入侵。 隨著技術(shù)的發(fā)展，防火墻產(chǎn)品還在不斷完善、發(fā)展。 代理服務(wù)是設(shè)置在 Inter 防火墻網(wǎng)關(guān)上的應(yīng)用，是在網(wǎng)管員允許下或拒絕的特定的應(yīng)用程序或者特定服務(wù)，一般情況下可應(yīng)用于特定的互聯(lián)網(wǎng)服務(wù)，如超文本傳輸、遠(yuǎn)程文件傳輸?shù)取Ｋ€有一個(gè)致命的弱點(diǎn)，就是不能在用戶級(jí)別上進(jìn)行過濾，即不能識(shí)別用戶與防止 IP地址的盜用。 〔 1〕 包過濾防火墻 包過濾防火墻是在 IP 層實(shí)現(xiàn)，它可以只用路由器來實(shí)現(xiàn)。 〔 2〕 防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對(duì)于病毒只能安裝反病毒軟件。防火墻則處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 的最佳位置。從而在結(jié)構(gòu)上形成了一個(gè)控制中心，極大地加強(qiáng)了網(wǎng)絡(luò)安全，并簡化了網(wǎng)絡(luò)管理。 〔 5〕 防火墻提供了監(jiān)視 Inter 安全和預(yù)警的方便端點(diǎn)。 防火墻的主要功能 防火墻的主要功能包括： 〔 1〕 防火墻可以對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，從而過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。 第 4 章 幾種常用的網(wǎng)絡(luò)安全技術(shù) 防火墻技術(shù) 計(jì)算機(jī)網(wǎng)絡(luò)安全與防范 網(wǎng)絡(luò)安全所說的 防火墻 (Fire Wall)是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。因此，提高對(duì)病毒的防范刻不容緩。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置，否則，安全隱患始終存在。 〔 1〕軟件漏洞： 每一個(gè)操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這幾類攻擊手段的新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化，攻擊目標(biāo)直指互聯(lián)網(wǎng)基礎(chǔ) 協(xié)議和操作系統(tǒng)層次。目前黑客的攻擊方法已超過了計(jì)算機(jī)病毒的種類，而且許多攻擊都是致命的。 從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。 第 2 章 計(jì)算機(jī)網(wǎng)絡(luò)安全 概述 計(jì)算機(jī)網(wǎng)絡(luò)安全的概念 國際標(biāo)準(zhǔn)化組織將 “ 計(jì)算機(jī)安全 ” 定義為： “ 為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏 ” 。 在安全技術(shù)不斷發(fā)展的同時(shí)，全面加強(qiáng)安全技術(shù)的應(yīng)用也是網(wǎng)絡(luò)安全發(fā)展的一個(gè)重要內(nèi)容。由于加密算法的公開化和解密技術(shù)的發(fā)展，加上發(fā)達(dá)國家對(duì)關(guān)鍵加密算法的出口限制，各個(gè)國家正不斷致力于開發(fā)和設(shè)計(jì)新的加