【正文】 繼續(xù)與被授予的服務(wù)通信；記錄有關(guān)通過的每個(gè)包的詳細(xì)信息的能力。包過濾防火墻的缺點(diǎn)：一些包過濾網(wǎng)關(guān)不支持有效的用戶認(rèn)證；規(guī)則表很快會變得很大而且復(fù)雜，規(guī)則很難測試。 根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。 （2）常用安全模型：是一種多級安全模型，即它所控制的信息分為絕密、機(jī)密、秘密和無密四種敏感級。A1 系統(tǒng)必須滿足下列要求：系統(tǒng)管理員必須從開發(fā)者那里接收到一個(gè)安全策略的正式模型。目前，A類安全等級只包含 A1 一個(gè)安全類別。B3 系統(tǒng)具有很強(qiáng)的監(jiān)視委托管理訪問能力和抗干擾能力。B2系統(tǒng)必須滿足B1系統(tǒng)的所有要求。(3)B 類安全等級：B 類安全等級可分為 BB2 和 B3 三類。在 C1 系統(tǒng)中，所有的用戶以同樣的靈敏度來處理數(shù)據(jù)，即用戶認(rèn)為 C1 系統(tǒng)中的所有文檔都具有相同的機(jī)密性。D1系統(tǒng)最普通的形式是本地操作系統(tǒng)，或者是一個(gè)完全沒有保護(hù)的網(wǎng)絡(luò)。在TCSEC劃分了7個(gè)安全等級：D級、C1 級、C2級、B1級、B2級、B3級和A1級。國際互聯(lián)網(wǎng)允許自主接入，從而構(gòu)成一個(gè)規(guī)模龐大的，復(fù)雜的巨系統(tǒng)，在如此復(fù)雜 的環(huán)境下，孤立的技術(shù)發(fā)揮的作用有限，必須從整體的和體系的角度，綜合運(yùn)用系統(tǒng)論，控制論和信息論等理論，融合各種技術(shù)手段，加強(qiáng)自主創(chuàng)新和頂層設(shè)計(jì)，協(xié)同解決網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)安全策略的實(shí)現(xiàn)流程涉及到以下幾個(gè)主要方面，如圖2－1所示。 （5）不可否認(rèn)性；也稱不可抵賴性，即防止對數(shù)據(jù)操作的否認(rèn)。根據(jù)用戶對安全的需求才可以采用以下的保護(hù)： （1）身份認(rèn)證；檢驗(yàn)用戶的身份是否合法、防止身份冒充、及對用戶實(shí)施訪問控制數(shù)據(jù)完整性鑒別、防止數(shù)據(jù)被偽造、修改和刪除。這兩種情況中，數(shù)據(jù)項(xiàng)的大小有很大的變化，數(shù)據(jù)權(quán)力命名 也可以帶自己的ACL 。 網(wǎng)絡(luò)安全管理機(jī)制 網(wǎng)絡(luò)信息安全不僅僅是技術(shù)問題，更是一個(gè)管理問題，要解決網(wǎng)絡(luò)信息安全問題，必須制定正確的目標(biāo)策略，設(shè)計(jì)可行的技術(shù)方案，確定合理的資金技術(shù)，采取相應(yīng)的管理措施和依據(jù)相關(guān)法律制度。 （4）完整性保證。 （2）認(rèn)證和授權(quán)。 網(wǎng)絡(luò)安全機(jī)制 網(wǎng)絡(luò)安全機(jī)制是保護(hù)網(wǎng)絡(luò)信息安全所采用的措施，所有的安全機(jī)制都是針對某些潛在的安全威脅而設(shè)計(jì)的，可以根據(jù)實(shí)際情況單獨(dú)或組合使用。1．機(jī)密性是指保證信息與信息系統(tǒng)不被非授權(quán)者所獲取與使用，主要防范措施是密碼技術(shù)。 （3）網(wǎng)絡(luò)上信息傳輸?shù)陌踩杭葱畔鞑ズ蠊陌踩?、包括信息過濾、不良信息過濾等。廣義上講，凡是涉及到網(wǎng)絡(luò)上 信息的保密性、完整性、可用性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全的研究領(lǐng)域。攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。良好的認(rèn)證體系可防止攻擊者假冒合法用戶。通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測出絕大多數(shù)攻擊，并采取響應(yīng)的行動(dòng)（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。 (2)全社會的信息安全意識雖然有所提高，但將其提到實(shí)際日程中來的依然很少。 因特網(wǎng)在我國的迅速普及，我國境內(nèi)信息系統(tǒng)的攻擊事件也正在呈現(xiàn)快速增長的勢頭。因此，提高對病毒的防范刻不容緩。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置，否則，安全隱患始終存在。 (1)軟件漏洞：每一個(gè)操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)都不可能是無缺陷和漏洞的。在信息化飛速發(fā)展的今天，計(jì)算機(jī)網(wǎng)絡(luò)得到了廣泛應(yīng)用，但隨著網(wǎng)絡(luò)之間的信息傳輸量的急劇增長，一些機(jī)構(gòu)和部門在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時(shí)，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的攻擊和破壞。在Internet網(wǎng)絡(luò)上，因互聯(lián)網(wǎng)本身沒有時(shí)空和地域的限制，每當(dāng)有一種新的攻擊手段產(chǎn)生，就能在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進(jìn)行攻擊從而造成計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)癱瘓。由于我國大量的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用依賴于外國的產(chǎn)品和技術(shù)，在電子政務(wù)、電子商務(wù)和各行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用尚處于發(fā)展階段，以上這些領(lǐng)域的大型計(jì)算機(jī)網(wǎng)絡(luò)工程都由國內(nèi)一些較大的系統(tǒng)集成商負(fù)責(zé)。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時(shí)，其他的安全問題又出現(xiàn)了。系統(tǒng)的BUG經(jīng)常被黑客利用，而且這種攻擊通常不會產(chǎn)生日志，幾乎無據(jù)可查。 (3)系統(tǒng)的后門是難于考慮到的地方。 (2)安全工具的使用受到人為因素的影響。然而，即使在使用了現(xiàn)有的安全工具和技術(shù)的情況下，網(wǎng)絡(luò)的安全仍然存在很大隱患，這些安全隱患主要可以包括為以下幾點(diǎn): (1)安全機(jī)制在特定環(huán)境下并非萬無一失。在信息處理能力提高的同時(shí)，系統(tǒng)的連結(jié)能力也在不斷的提高?！娟P(guān)鍵字】：計(jì)算機(jī)網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；防范策略；防火墻IAbstractThe use of information technology takes many benefits to people39。他們非法入侵他人的計(jì)算機(jī)系統(tǒng)竊取機(jī)密信息、篡改和破壞數(shù)據(jù)，給社會造成難以估計(jì)的巨大損失。當(dāng)大部分人們使用信息技術(shù)提高工作效率，為社會創(chuàng)造更多財(cái)富的同時(shí)，另外一些人利用信息技術(shù)卻做著相反的事。本文對計(jì)算機(jī)網(wǎng)絡(luò)安全的概念加以闡述，并對目前計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患進(jìn)行了分析，探討了針對計(jì)算機(jī)安全隱患的防范策略，同時(shí)深入探究各方面網(wǎng)絡(luò)安全問題的解決，可以使讀者得到對網(wǎng)絡(luò)安全技術(shù)的深入了解。s hidden danger. For example: firewall, authentication encryption, antivirus technology is today monly used method, this method of indepth exploration of these various aspects of network security problems, can make the reader understand network security technology better. 【Key words】: network；network security；security；firewallII目 錄第1章 計(jì)算機(jī)網(wǎng)絡(luò)安全概述 3 網(wǎng)絡(luò)安全發(fā)展歷史與現(xiàn)狀分析 3 3 4 5 6第2 章 網(wǎng)絡(luò)安全概述 8 網(wǎng)絡(luò)安全的含義 8 網(wǎng)絡(luò)安全的屬性 8 網(wǎng)絡(luò)安全機(jī)制 9 網(wǎng)絡(luò)安全技術(shù)機(jī)制 9 網(wǎng)絡(luò)安全管理機(jī)制 10 網(wǎng)絡(luò)安全策略 10 安全策略的分類 10 安全策略的配置 10 安全策略的實(shí)現(xiàn)流程 11 網(wǎng)絡(luò)安全發(fā)展趨勢 12第 3章 網(wǎng)絡(luò)安全問題解決對策 13 計(jì)算機(jī)安全級別的劃分 13 TCSEC 簡介 13 GB17859劃分的特點(diǎn) 13 15 防火墻技術(shù) 15 15 防火墻的基本概念與作用 17 防火墻的工作原理 18 19 19 20 22 22 23第4 章 網(wǎng)絡(luò)安全防范 27 telnet 入侵防范 27 防止 Administrator 賬號被破解 27 防止賬號被暴力破解 28 “木馬”防范措施 28“木馬”的概述 28 “木馬”的防范措施 28 網(wǎng)頁惡意代碼及防范 29 惡意代碼分析 29 網(wǎng)頁惡意代碼的防范措施 30總結(jié) 31謝辭 32參考文獻(xiàn) 33第1章 計(jì)算機(jī)網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全發(fā)展歷史與現(xiàn)狀分析 隨著計(jì)算機(jī)技術(shù)的發(fā)展，在計(jì)算機(jī)上處理業(yè)務(wù)已由基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理，基于簡單連結(jié)的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動(dòng)化等發(fā)展到基于企業(yè)復(fù)雜的內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。為了解決這些安全問題，各種安全機(jī)制、策略、管理和技術(shù)被研究和應(yīng)用。因此，對于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為，防火墻是很難發(fā)覺和防范的。雖然在這方面，可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進(jìn)行了合理的設(shè)置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進(jìn)行比較，針對具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來，程序設(shè)計(jì)者在修改已知的BUG的同時(shí)又可能使它產(chǎn)生了新的BUG。安全工具的更新速度慢，且絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對新出現(xiàn)的安全問題總是反應(yīng)遲鈍。公安機(jī)關(guān)受理各類信息網(wǎng)絡(luò)違法犯罪案件逐年劇增，尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。目前黑客的攻擊方法已超過了計(jì)算機(jī)病毒的種類，而且許多攻擊都是致命的。黑客的攻擊手法不斷升級翻新，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。這使數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。對特定的網(wǎng)絡(luò)應(yīng)用程序，當(dāng)它啟動(dòng)時(shí)，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應(yīng)用軟件也會被啟用。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點(diǎn)。從某種意義上講，黑客對信息安全的危害甚至比一般的電腦病毒更為嚴(yán)重。 目前我國網(wǎng)絡(luò)安全的現(xiàn)狀和面臨的威脅主要有： (1)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)使用的軟、硬件很大一部分是國外產(chǎn)品，我們對引進(jìn)的信息技術(shù)和設(shè)備缺乏保護(hù)信息安全所必不可少的有效管理和技術(shù)改造。為了能更好地適應(yīng)信息技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)必須具備以下功能：1．訪問控制。3．攻擊監(jiān)控。5．認(rèn)證。7．多層防御。第2 章 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全的含義 網(wǎng)絡(luò)安全從其本質(zhì)來講就是網(wǎng)絡(luò)上信息安全，它涉及的領(lǐng)域相當(dāng)廣泛，這是因?yàn)槟壳暗墓?