【正文】 金老師淵博的學(xué)識、嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度和豐富的實(shí)踐經(jīng)驗(yàn)使我在做論文期間受益非淺，金老師不僅使我在理論知識和實(shí)踐經(jīng)驗(yàn)上得到長進(jìn)，而且交給了我更為系統(tǒng)和科學(xué)的學(xué)習(xí)和工作方法。通過大學(xué)的學(xué)習(xí)我對這些有了比較深刻的了解，但由于自身水平的原因以及時(shí)間的關(guān)系，對計(jì)算機(jī)安全防范的研究還有不盡完善的地方，還存在很多的問題。圖42所示 網(wǎng)頁惡意代碼的防范措施 （1）運(yùn)行IE時(shí)，點(diǎn)擊“工具→Internet選項(xiàng)→安全→ Internet區(qū)域的安全級別”，把安全級別由“中”改為“高”（如圖42所示）。在“木馬”程序會(huì)想盡一切辦法隱藏自己，主要途徑有：在任務(wù)欄和任務(wù)管理器中隱藏自己，即將程序設(shè)為“系統(tǒng)服務(wù)”來偽裝自己，“木馬”會(huì)在每次服務(wù)端啟動(dòng)時(shí)自動(dòng)裝載到系統(tǒng)中。重命名系統(tǒng)管理員帳戶“屬性”對話框，在此輸入新的管理員名稱，盡量把它為普通用戶，然后另建一個(gè)超過 10 位的超級復(fù)雜密碼，并對該賬號啟用審核，這樣即使黑客費(fèi)力破解到密碼也殺一無所獲。它為用戶提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。產(chǎn)品報(bào)表結(jié)構(gòu)、處理誤報(bào)的方便程度、事件查詢的方便程度以及使用該系統(tǒng)所需的技術(shù)人員數(shù)量。像反病毒軟件一樣，入侵檢測的特征需要不斷更新才能檢測出新出現(xiàn)的攻擊方法。（2）統(tǒng)計(jì)檢測。實(shí)際上文件完整性檢查系統(tǒng)是一個(gè)檢測系統(tǒng)被非法使用的最重要的工具之一。（3）混合入侵檢測。如果其中主體活動(dòng)十分可疑(特征或違反統(tǒng)計(jì)規(guī)律)，入侵檢測系統(tǒng)就會(huì)采取相應(yīng)措施。1．入侵檢測系統(tǒng)目前存在的問題: 現(xiàn)有的入侵檢測系統(tǒng)檢測速度遠(yuǎn)小于網(wǎng)絡(luò)傳輸速度, 導(dǎo)致誤報(bào)率和漏報(bào)率；入侵檢測產(chǎn)品和其它網(wǎng)絡(luò)安全產(chǎn)品結(jié)合問題, 即期間的信息交換,共同協(xié)作發(fā)現(xiàn)攻擊并阻擊攻擊；基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)對加密的數(shù)據(jù)流及交換網(wǎng)絡(luò)下的數(shù)據(jù)流不能進(jìn)行檢測, 并且其本身構(gòu)建易受攻擊；入侵檢測系統(tǒng)體系結(jié)構(gòu)問題等。一個(gè)簡單的入侵檢測系統(tǒng)，如圖2－6所示: 圖2－6 入侵檢測系統(tǒng)入侵檢測系統(tǒng)的基本任務(wù)：通過實(shí)時(shí)檢測網(wǎng)絡(luò)系統(tǒng)狀態(tài)，判斷入侵行為發(fā)生，并產(chǎn)生報(bào)警。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。圖3－3 加密與解密過程數(shù)據(jù)加密技術(shù)包括兩種體系：1．對稱密鑰體系。解密是指把密文還原成明文的過程。前者一般是通過加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實(shí)現(xiàn)，后者則是對用戶資格、格限加以審查和限制，防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。其一般邏輯位置如圖3－2所示。通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。 （2）允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。 4．個(gè)人防火墻 個(gè)人防火墻的優(yōu)點(diǎn)：增加了保護(hù)級別，不需要額外的硬件資源；個(gè)人防火墻除了可以抵擋外來攻擊的同時(shí)，還可以抵擋內(nèi)部的攻擊；個(gè)人防火墻是對公共網(wǎng)絡(luò)中的單個(gè)系統(tǒng)提供了保護(hù)。２．狀態(tài)/動(dòng)態(tài)檢測防火墻 狀態(tài)/動(dòng)態(tài)檢測防火墻的優(yōu)點(diǎn)有檢查IP包的每個(gè)字段的能力，并遵從基于包中信息的過濾規(guī)則；識別帶有欺騙性源IP地址包的能力；包過濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問的唯一來源。 防火墻技術(shù) 隨著網(wǎng)絡(luò)安全問題日益嚴(yán)重，網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品也被人們逐漸重視起來，防火墻 作為最早出現(xiàn)的網(wǎng)絡(luò)安全技術(shù)和使用量最大的網(wǎng)絡(luò)安全產(chǎn)品，受到用戶和研發(fā)機(jī)構(gòu)的親睞。對系統(tǒng)分析后，設(shè)計(jì)者必須運(yùn)用核對技術(shù)來確保系統(tǒng)符合設(shè)計(jì)規(guī)范。 B3 系統(tǒng)必須符合B2系統(tǒng)的所有安 全需求。C2 系統(tǒng)具有 C1 系統(tǒng)中所有的安全性特征。D1 系統(tǒng)只為文件和用戶提供安全保護(hù)。網(wǎng)絡(luò)進(jìn)化的未來—綠色網(wǎng)絡(luò)—呼喚著新的信息安全保障體系。 （4）訪問控制；對用戶的訪問權(quán)限進(jìn)行控制?；谏矸莸陌踩呗允沁^濾對數(shù)據(jù)或資源的訪問,有兩種執(zhí)行方法：如果訪問權(quán)限為訪問者所有，典型的作法為特權(quán)標(biāo)記或特殊授權(quán)，即僅為用戶及相應(yīng)活動(dòng)進(jìn)程進(jìn)行授權(quán)；如果為訪問數(shù)據(jù)所有則可以采用訪問控制表（ACL）。通過對一些重要的事件進(jìn)行記錄，從而在系統(tǒng)中發(fā)現(xiàn)錯(cuò)誤或受到攻擊時(shí)能定位錯(cuò)誤并找到防范失效的原因，作為內(nèi)部犯罪和事故后調(diào)查取證的基礎(chǔ)。以上可以看出：在網(wǎng)絡(luò)中，維護(hù)信息載體和信息自身的安全都包括了機(jī)密性、完整性、可用性這些重要的屬性。 （2）網(wǎng)絡(luò)上系統(tǒng)信息的安全：包括用戶口令鑒別、用戶存取權(quán)限控制、數(shù)據(jù)存取權(quán)限、方式控制、安全審計(jì)、安全問題跟蹤、計(jì)算機(jī)病毒防治、數(shù)據(jù)加密等。7．多層防御。3．攻擊監(jiān)控。 目前我國網(wǎng)絡(luò)安全的現(xiàn)狀和面臨的威脅主要有： (1)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)使用的軟、硬件很大一部分是國外產(chǎn)品，我們對引進(jìn)的信息技術(shù)和設(shè)備缺乏保護(hù)信息安全所必不可少的有效管理和技術(shù)改造。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點(diǎn)。這使數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。目前黑客的攻擊方法已超過了計(jì)算機(jī)病毒的種類，而且許多攻擊都是致命的。安全工具的更新速度慢，且絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對新出現(xiàn)的安全問題總是反應(yīng)遲鈍。雖然在這方面，可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進(jìn)行了合理的設(shè)置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進(jìn)行比較，針對具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。為了解決這些安全問題，各種安全機(jī)制、策略、管理和技術(shù)被研究和應(yīng)用。本文對計(jì)算機(jī)網(wǎng)絡(luò)安全的概念加以闡述，并對目前計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患進(jìn)行了分析，探討了針對計(jì)算機(jī)安全隱患的防范策略，同時(shí)深入探究各方面網(wǎng)絡(luò)安全問題的解決，可以使讀者得到對網(wǎng)絡(luò)安全技術(shù)的深入了解。他們非法入侵他人的計(jì)算機(jī)系統(tǒng)竊取機(jī)密信息、篡改和破壞數(shù)據(jù)，給社會(huì)造成難以估計(jì)的巨大損失。在信息處理能力提高的同時(shí)，系統(tǒng)的連結(jié)能力也在不斷的提高。 (2)安全工具的使用受到人為因素的影響。系統(tǒng)的BUG經(jīng)常被黑客利用，而且這種攻擊通常不會(huì)產(chǎn)生日志，幾乎無據(jù)可查。由于我國大量的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用依賴于外國的產(chǎn)品和技術(shù)，在電子政務(wù)、電子商務(wù)和各行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用尚處于發(fā)展階段，以上這些領(lǐng)域的大型計(jì)算機(jī)網(wǎng)絡(luò)工程都由國內(nèi)一些較大的系統(tǒng)集成商負(fù)責(zé)。在信息化飛速發(fā)展的今天，計(jì)算機(jī)網(wǎng)絡(luò)得到了廣泛應(yīng)用，但隨著網(wǎng)絡(luò)之間的信息傳輸量的急劇增長，一些機(jī)構(gòu)和部門在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時(shí)，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的攻擊和破壞。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置，否則，安全隱患始終存在。 因特網(wǎng)在我國的迅速普及，我國境內(nèi)信息系統(tǒng)的攻擊事件也正在呈現(xiàn)快速增長的勢頭。通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。良好的認(rèn)證體系可防止攻擊者假冒合法用戶。廣義上講，凡是涉及到網(wǎng)絡(luò)上 信息的保密性、完整性、可用性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全的研究領(lǐng)域。1．機(jī)密性是指保證信息與信息系統(tǒng)不被非授權(quán)者所獲取與使用，主要防范措施是密碼技術(shù)。 （2）認(rèn)證和授權(quán)。 網(wǎng)絡(luò)安全管理機(jī)制 網(wǎng)絡(luò)信息安全不僅僅是技術(shù)問題，更是一個(gè)管理問題，要解決網(wǎng)絡(luò)信息安全問題，必須制定正確的目標(biāo)策略，設(shè)計(jì)可行的技術(shù)方案，確定合理的資金技術(shù)，采取相應(yīng)的管理措施和依據(jù)相關(guān)法律制度。根據(jù)用戶對安全的需求才可以采用以下的保護(hù)： （1）身份認(rèn)證；檢驗(yàn)用戶的身份是否合法、防止身份冒充、及對用戶實(shí)施訪問控制數(shù)據(jù)完整性鑒別、防止數(shù)據(jù)被偽造、修改和刪除。網(wǎng)絡(luò)安全策略的實(shí)現(xiàn)流程涉及到以下幾個(gè)主要方面，如圖2－1所示。在TCSEC劃分了7個(gè)安全等級：D級、C1 級、C2級、B1級、B2級、B3級和A1級。在 C1 系統(tǒng)中，所有的用戶以同樣的靈敏度來處理數(shù)據(jù)，即用戶認(rèn)為 C1 系統(tǒng)中的所有文檔都具有相同的機(jī)密性。B2系統(tǒng)必須滿足B1系統(tǒng)的所有要求。目前，A類安全等級只包含 A1 一個(gè)安全類別。 （2）常用安全模型：是一種多級安全模型，即它所控制的信息分為絕密、機(jī)密、秘密和無密四種敏感級。包過濾防火墻的缺點(diǎn)：一些包過濾網(wǎng)關(guān)不支持有效的用戶認(rèn)證；規(guī)則表很快會(huì)變得很大而且復(fù)雜，規(guī)則很難測試。３．應(yīng)用程序代理防火墻 應(yīng)用程序代理防火墻的優(yōu)點(diǎn)：指定對連接的控制，例如允許或拒絕基于服務(wù)器IP地址的訪問，或者是允許或拒絕基于用戶所請求連接的IP地址的訪問；通過限制某些協(xié)議的傳出請求，來減少網(wǎng)絡(luò)中不必要的服務(wù)；大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時(shí)間。這樣一來的話，個(gè)人防火墻本身可能會(huì)容易受到威脅，或者說是具有這樣一個(gè)弱點(diǎn)，網(wǎng)絡(luò)通信可以繞過防火墻的規(guī)則。 （3）對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。 （1）分組過濾技術(shù)實(shí)際上是基于路由器技術(shù)，它通常由分組過濾路由器對IP分組進(jìn)行分組選擇，允許或拒絕特定的IP數(shù)據(jù)包，工作于IP層。后者則指信息由發(fā)送者端自動(dòng)加密，并進(jìn)入TCP/IP數(shù)據(jù)包回封，然后作為不可閱讀和不可識別的數(shù)據(jù)穿過互聯(lián)網(wǎng)，當(dāng)這些信息一旦到達(dá)目的地，將被自動(dòng)重組、解密，成為可讀數(shù)據(jù)。密鑰的媒體有：磁卡、磁帶、磁盤、半導(dǎo)體存儲(chǔ)器等。在設(shè)計(jì)加密系統(tǒng)中，加密算法是可以公開的，真正需要保密的是密鑰，密鑰本質(zhì)是非常大的數(shù)，密鑰大小用“位”表示。圖3－5非對稱密鑰體系與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放的網(wǎng)絡(luò)。IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊；在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加入策略集中，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵。另外，入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵的特點(diǎn)。網(wǎng)絡(luò)入侵檢測系統(tǒng)的弱點(diǎn)：網(wǎng)絡(luò)入侵檢測系統(tǒng)只檢查它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包。主機(jī)入侵檢測系統(tǒng)可部署在那些不需要廣泛的入侵檢測、傳感器與控制臺之間的通信帶寬不足的情況下。文件完整性檢查系統(tǒng)檢查計(jì)算機(jī)中自上次檢查以后文件變化情況。（1