【正文】 的安全措施 ， 登錄用戶名稱 ， 監(jiān)測(cè)和記錄過(guò)程等 ， 還可以限制在網(wǎng)絡(luò)連接中所有的主機(jī)不能運(yùn)行應(yīng)用程序 。 鑒此 ， 在實(shí)際應(yīng)用中通常使用的是分布式控制策略 ，它能有效地解決瓶頸問(wèn)題 ， 但值得注意的是 ， 系統(tǒng)中不同成員之間的策略一致性問(wèn)題 。 從而我們可以得到一個(gè)結(jié)論：硬件級(jí)的保護(hù)級(jí)別最低 ，而應(yīng)用層的保護(hù)級(jí)別最高 ， 也就是說(shuō) ， 當(dāng)我們考慮應(yīng)用層的保護(hù)時(shí) ，除了要考慮保護(hù)應(yīng)用層以外 ， 還要考慮服務(wù)層 、 操作系統(tǒng)層及硬件層的保護(hù) 。 由此我們可以得到一個(gè)結(jié)論：計(jì)算機(jī)系統(tǒng)的安全保護(hù)策略是保護(hù)計(jì)算機(jī)操作系統(tǒng)和數(shù)據(jù)的安全 。 l 規(guī)定作用在一個(gè)數(shù)據(jù)項(xiàng)上所有可能的操作 。 在圖 11中 ， 橫軸代表安全策略的重點(diǎn) ， 縱軸代表具有保護(hù)機(jī)制的計(jì)算機(jī)系統(tǒng)層次 。 換句話說(shuō) ， 計(jì)算機(jī)安全是關(guān)于對(duì)信息和資源的控制訪問(wèn) 。 l 服務(wù)器安全策略：定義組織內(nèi)部服務(wù)器的安全配置 。 l Inter接入策略：定義在組織防火墻之外的設(shè)備和操作的安全要求 。 l 非軍事區(qū)域策略：定義位于 “ 非軍事區(qū)域 ” （ Demilitarized Zone） 的設(shè)備和網(wǎng)絡(luò)分區(qū) 。 l 應(yīng)用服務(wù)策略：定義應(yīng)用服務(wù)提供者必須遵守的安全方針 。 l 加密策略：描述組織對(duì)數(shù)據(jù)加密的安全要求 。 問(wèn)題策略描述了一個(gè)組織所關(guān)心的安全領(lǐng)域和對(duì)這些領(lǐng)域內(nèi)安全問(wèn)題的基本態(tài)度 。 安全策略是由一組規(guī)則組成的 ， 是對(duì)系統(tǒng)中所有與安全相關(guān)元素的活動(dòng)做出的一些限制 。 (3)保護(hù)數(shù)據(jù)完整性 主要通過(guò)消息摘要算法保護(hù)數(shù)據(jù)的完整性 。 例如在進(jìn)入一個(gè)系統(tǒng)或進(jìn)程時(shí) ， 需要提交 User ID（ 用戶名 ） 和Password（ 口令 ） 。 網(wǎng)絡(luò)安全的基本技術(shù) (1)數(shù)據(jù)加密技術(shù)； (2)數(shù)字簽名技術(shù)； (3)鑒別技術(shù)； (4)訪問(wèn)控制技術(shù)； (5)安全審計(jì)技術(shù)； (6)防火墻技術(shù)； (7)入侵檢測(cè)技術(shù)； (8)端口掃描技術(shù)； (9)網(wǎng)絡(luò)嗅探技術(shù)； (10)病毒診斷與防治技術(shù)； (11)黑客防范技術(shù) 。 l 授權(quán)侵犯：對(duì)某一資源具有一定權(quán)限的實(shí)體 ， 將此權(quán)限用于未被授權(quán)的實(shí)體 ， 也稱 “ 內(nèi)部威脅 ” 。 報(bào)文在轉(zhuǎn)發(fā)過(guò)程中經(jīng)過(guò)丙 ， 丙把報(bào)文改為 “ 請(qǐng)給丙匯 10000元錢 ， 乙 ” 。 這是大多數(shù)黑客常用的攻擊方法 。 拒絕服務(wù)可能由以下原因造成：攻擊者對(duì)系統(tǒng)進(jìn)行大量的 、 反復(fù)的非法訪問(wèn)嘗試而造成系統(tǒng)資源過(guò)載 ， 無(wú)法為合法用戶提供服務(wù)；系統(tǒng)物理或邏輯上受到破壞而中斷服務(wù) 。 網(wǎng)絡(luò)面臨的威脅 (1)基本的安全威脅 l 信息泄露：信息泄露給某個(gè)未經(jīng)授權(quán)的實(shí)體 。 安全管理包括安全特征的管理和管理信息的安全 。 l敏感信息：敏感信息是指那些丟失 、 濫用 、 被非法授權(quán)人訪問(wèn)或修改的信息 ， 是泄露 、 破壞 、 不可使用或修改后會(huì)對(duì)你造成損失的信息 。 保密是指為維護(hù)用戶自身利益 ， 對(duì)資源加以防止非法侵入和防止盜取 ， 即使非法用戶盜取到了資源也識(shí)別不了的方法 。 主要技術(shù)有：防火墻 、 訪問(wèn)控制 、 入侵檢測(cè) 、 漏洞掃描 、 身份認(rèn)證 、 災(zāi)難恢復(fù)和安全管理等 。 在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，多個(gè)用戶共處在一個(gè)大環(huán)境中，系統(tǒng)資源是共享的，用戶終端可直接訪問(wèn)網(wǎng)絡(luò)和分布在各用戶處理機(jī)中的文件、數(shù)據(jù)和各種軟件、硬件資源。 數(shù)據(jù)的傳輸安全指的是保護(hù)數(shù)據(jù)在傳輸過(guò)程中免遭竊聽 、 竊取 、 篡改和破壞 。 軟件安全指的是對(duì)各種應(yīng)用軟件進(jìn)行訪問(wèn)權(quán)限的設(shè)置，沒(méi)有授權(quán)的用戶是不能訪問(wèn)該軟件的。 硬件安全主要是指計(jì)算機(jī)及其外圍設(shè)備的安全 ， 尤其是存儲(chǔ)設(shè)備的安全顯得最為重要 。 計(jì)算機(jī)還為不同的用戶設(shè)置專用目錄和公用目錄 ，根據(jù)預(yù)先分配用戶的權(quán)限來(lái)控制其訪問(wèn)范圍 。 信息數(shù)據(jù)是安全問(wèn)題的關(guān)鍵，要求保證信息傳輸完整性、保密性等。這就要求網(wǎng)絡(luò)能夠?qū)λ衼?lái)訪者進(jìn)行分析，判斷來(lái)自這一 IP地址的數(shù)據(jù)是否安全，以及是否會(huì)對(duì)本網(wǎng)絡(luò)造成危害；同時(shí)還要求系統(tǒng)能自動(dòng)將危險(xiǎn)來(lái)訪拒之門外，并對(duì)其進(jìn)行自動(dòng)記錄，使其無(wú)法再次入侵。 信息安全與網(wǎng)絡(luò)安全工具和設(shè)備在運(yùn)行時(shí)對(duì)用戶是不可見的 ， 到底能防多少黑客 、 系統(tǒng)受多少傷害 、 是否帶來(lái)新的不安全因素 ， 包括整個(gè)安全體系都是很模糊的 ，用戶不知如何管理 ， 我們將提到的網(wǎng)絡(luò)安全資源管理平臺(tái)就可以給管理人員一片感性的天地 。 因此 ， 為了滿足國(guó)家保密法的要求 ， 在某些重要或涉密網(wǎng)絡(luò) ，應(yīng)該安裝使用審計(jì)系統(tǒng) 。 (2)信息存儲(chǔ)安全系統(tǒng) 在計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)的信息主要包括純粹的數(shù)據(jù)信息和各種功能文件信息兩大類 。 單向散列函數(shù)能夠在不同的系統(tǒng)中高效實(shí)現(xiàn) 。 但這種機(jī)制運(yùn)算量大 ， 并且昂貴 ，只適用于那些完整性要求保護(hù)極高的情況 。 若相等 ， 說(shuō)明文件沒(méi)有改變；若不等 ， 則說(shuō)明文件可能被未察覺(jué)的行為改變了 。 數(shù)據(jù)完整性鑒別技術(shù)：目前 ， 對(duì)于動(dòng)態(tài)傳輸?shù)男畔?， 許多協(xié)議確保信息完整性的方法大多是收錯(cuò)重傳 、 丟棄后續(xù)包的辦法 ， 但黑客的攻擊可以改變信息包內(nèi)部的內(nèi)容 ， 所以應(yīng)采取有效的措施來(lái)進(jìn)行完整性檢驗(yàn)控制 。 我國(guó)安全保護(hù)條例對(duì)信息安全的定義為：計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)，應(yīng)當(dāng)保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。 本節(jié)內(nèi)容 信息安全 計(jì)算機(jī)安全 網(wǎng)絡(luò)安全 信息安全與計(jì)算機(jī)安全 計(jì)算機(jī)安全與網(wǎng)絡(luò)安全 信息安全 信息安全 的 定義： 國(guó)際標(biāo)準(zhǔn)化組織 (ISO)對(duì)信息安全的定義為：為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和顯露。 如果以加密實(shí)現(xiàn)的通信層次來(lái)區(qū)分 ， 加密可以在通信的三個(gè)不同層次來(lái)實(shí)現(xiàn) ， 即鏈路加密 （ 位于 OSI網(wǎng)絡(luò)層以下的加密 ） 、 結(jié)點(diǎn)加密和端到端加密 （ 傳輸前對(duì)文件加密 ， 位于 OSI網(wǎng)絡(luò)層以上的加密 ） 。 校驗(yàn)和：一個(gè)最簡(jiǎn)單易行的完整性控制方法是使用校驗(yàn)和 ， 計(jì)算出該文件的校驗(yàn)和值并與上次計(jì)算出的值比較 。 只要運(yùn)用恰當(dāng)?shù)乃惴?， 這種完整性控制機(jī)制幾乎無(wú)法破解 。因此 ， 一個(gè)被修改的文件不可能有同樣的散列值 。 另外實(shí)現(xiàn)防抵賴的途徑還有：通過(guò)可信第三方的認(rèn)證 、 使用時(shí)間戳 、 采用一個(gè)在線的第三方 、 數(shù)字簽名與時(shí)戳相結(jié)合等 。 (3)信息內(nèi)容審計(jì)系統(tǒng) 實(shí)時(shí)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行審計(jì) ， 以防止或追查可能的泄密行為 。 l 黑盒性：信息與網(wǎng)絡(luò)的不安全性是相對(duì)透明的 ， 也就是說(shuō) ， 信息安全與網(wǎng)絡(luò)安全是具有黑盒性的 。 網(wǎng)絡(luò)層安全問(wèn)題的核心在于網(wǎng)絡(luò)是否得到控制，一旦危險(xiǎn)的訪問(wèn)者進(jìn)入企業(yè)網(wǎng)絡(luò)，后果是不堪設(shè)想的。因此企業(yè)必須做到實(shí)時(shí)監(jiān)測(cè)、隨時(shí)查毒、殺毒，不能有絲毫的懈怠與疏忽。 以后 ， 隨著多用戶 、 多進(jìn)程計(jì)算機(jī)的出現(xiàn) ， 眾多用戶使用同一臺(tái)計(jì)算機(jī)運(yùn)行不同的進(jìn)程 ， 由此產(chǎn)生了計(jì)算機(jī)賬戶管理和資源分配等需求 ， 因此出現(xiàn)了身份認(rèn)證和訪問(wèn)控制 ， 開始在操作系統(tǒng)中設(shè)置專門的用戶口令文件和用戶賬戶文件 ， 并在用戶登錄時(shí)引發(fā)身份認(rèn)證進(jìn)程 。 計(jì)算機(jī)安全主要分為三大部份 ， 硬件安全 、 軟件安全及數(shù)據(jù)安全 。 前者指的是如何防止系統(tǒng)遭到攻擊 ， 后者指的是對(duì)于一旦硬件遭到攻擊后 ， 如何恢復(fù)原有數(shù)據(jù)的問(wèn)題 。 數(shù)據(jù)的訪問(wèn)安全指的是對(duì)用戶設(shè)置數(shù)據(jù)的訪問(wèn)權(quán)限 ， 不同權(quán)限的用戶的訪問(wèn)范圍是不一樣的 ， 對(duì)于沒(méi)有權(quán)限的用戶 ， 是不能隨意訪問(wèn)數(shù)據(jù)的 。 計(jì)算機(jī)網(wǎng)絡(luò)安全是一個(gè)非常復(fù)雜的問(wèn)題 ， 安全問(wèn)題不僅僅是技術(shù)方面的問(wèn)題 ，它還涉到人的心理 、 社會(huì)環(huán)境以及法律等多方面內(nèi)容 。 網(wǎng)絡(luò)系統(tǒng)安全主要側(cè)重于攻