【正文】 .............................................................................. 18 網(wǎng)絡(luò)安全隱患與防范 ..................................................................................... 20 網(wǎng)絡(luò)安全的不穩(wěn)定因素及其安全缺陷 ......................................................... 20 網(wǎng)絡(luò)安全的 10 大不穩(wěn)定因素 ............................................................... 20 網(wǎng)絡(luò)安全缺陷 .................................................................................... 21 網(wǎng)絡(luò)黑客與防范措施 ................................................................................... 21 網(wǎng)絡(luò)黑客攻擊方法 ............................................................................. 21 網(wǎng)絡(luò)黑客防范措施 ............................................................................. 23 網(wǎng)絡(luò)病毒與防范措施 ................................................................................... 23 網(wǎng)絡(luò)病毒的來源 ................................................................................ 23 網(wǎng)絡(luò)病毒的防治 .................................................................................. 24 [結(jié)束語 ] ......................................................................................................................... 25 [參考文獻 ] ..................................................................................................................... 28 1 [摘要 ] 文中就網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全進行全面的概述及技術(shù)理 論的詳細闡述。由于局域網(wǎng)管理主要保證在局域網(wǎng)內(nèi)的所有計算機能夠順利傳遞和共享文件，因此早期的局域網(wǎng)管理系統(tǒng)與網(wǎng)絡(luò)操作系統(tǒng)密不可分。我國雖然計算機網(wǎng)絡(luò)應用起步較晚，但在金融界已發(fā)生多起盜竊案，在科技界也發(fā)生了用戶帳戶被盜用、使被盜用戶一個月的網(wǎng)絡(luò)費用損失高達 2 萬余元的各例。從廣義上講，任何 一個系統(tǒng)都需要管理，依據(jù)系統(tǒng)的大小、復雜性的高低，管理的重要性也有所不同。 網(wǎng)絡(luò)系統(tǒng)規(guī)模的日益擴大和應用水平的不斷提高，一方面使得網(wǎng)絡(luò)的維護成為網(wǎng)絡(luò)管理的重要問題之一，例如排除網(wǎng)絡(luò)故障 更加困難、維護成本上升等，另一方面使得如何提高網(wǎng)絡(luò)性能也成為網(wǎng)絡(luò)系統(tǒng)應用的主要問題。 從網(wǎng)絡(luò)資源的角度考慮，網(wǎng)絡(luò)管理的范圍包括被管理節(jié)點、代理、網(wǎng)絡(luò)管理工作站和網(wǎng)絡(luò)管理協(xié)議。網(wǎng)絡(luò) 管理是控制一個復雜的數(shù)據(jù)網(wǎng)絡(luò)去獲得最大效益和生產(chǎn)率的過程，為更好地定義網(wǎng)絡(luò)管理的范圍，國際標準化組織把網(wǎng)絡(luò)管理的任務(wù)分為 5 個部分，即網(wǎng)絡(luò)的配置管理、性能管理、故障管理、安全管理和計費管理。從性能管理中獲得的性能監(jiān)測和分析結(jié)果是網(wǎng)絡(luò)規(guī)劃和資源提供的重要根據(jù)，因為這些結(jié)果能夠反映當前（或即將發(fā)生）的資源不足。安全管理主要包括風險分析，安全服務(wù)，告警、日志和報告功能以及網(wǎng)絡(luò)管理系統(tǒng)保護功能。交通管理及相關(guān)設(shè)施對保證道路交通安全誠然十分重要，但是，汽車駕駛?cè)藛T的安全意識和安全素質(zhì)是基礎(chǔ)。不同的壞境和應用，網(wǎng)絡(luò)安全會有不同的解釋。一個小型的、在一間辦公室的 LAN 可能與一個大型的、遍布一所校園的 LAN 有著不同的安全性問題。 (2) 安全協(xié)議設(shè)計 網(wǎng)絡(luò)的安全協(xié)議是網(wǎng)絡(luò)安 全的一個重要方面。 (3) 接入控制 7 接入控制網(wǎng)絡(luò)的一大優(yōu)點就是能夠資源共享，用戶可通過網(wǎng)絡(luò)來共享系統(tǒng)提供的各種資源。此標準由兩部分組成：加拿大可信任計算機產(chǎn)品評估標準 (Canadian Trusted Computer Product Evaluation Criteria,簡稱CTCPEC)和普通標準（ Common Criteria）。國際上有一些組織機構(gòu)致力于研究、制定、開發(fā)網(wǎng)絡(luò)管理的服務(wù)標準、協(xié)議和體系結(jié)構(gòu)，其中最重要的有： (1) 國際標準化組織 (ISO) (2) 國際電信聯(lián)盟電信標準化部 (ITUT) (3) Inter 工程任務(wù)組 (IETF) 這三個組織制定了一系列的網(wǎng)絡(luò)管理標準，為網(wǎng)絡(luò)管理的標準化進程做了大量工作。 (1) 配置管理 9 a. 配置信息的自動獲取：在一個大型網(wǎng)絡(luò)中，需要管理的設(shè)備是比較多的，如果每個設(shè)備的配置信息都完全依靠管理人員的手工輸入，工作量是相當大的，而且還存在出錯的可能性。因此，對整個 網(wǎng)絡(luò)的配置情況進行一致性檢查是必需的。 b. 閾值控制：可對每一個被管對象的每一條屬性設(shè)置閾值，對于特定被管對象的特定屬性，可以針對不同的時間段和性能指標進行閾值設(shè)置。 c. 故障信息管理：依靠對事件記錄的分析，定義網(wǎng)絡(luò)故障并生成故障卡片，記錄排除故障的步驟和與故障相關(guān)的值班員日志，構(gòu)造排錯行動記錄，將事件 故障 日志構(gòu)成邏輯上相互關(guān)聯(lián)的整體，以反映故障產(chǎn)生、變化、消除的整個過程的各個方面。 e. 系統(tǒng)日志分析，記錄用戶所有的操作，使系統(tǒng)的操作和對網(wǎng)絡(luò)對象的修改有據(jù)可查，同時也有助于故障的跟蹤與恢復。這樣需要一個制定計費政策的友好人機界面和完善的實現(xiàn)計費政策的數(shù)據(jù)模型。我們下面將介紹四種網(wǎng)絡(luò)管理系統(tǒng)，并給出它們的優(yōu)缺點比較。在近期， OpenView 看上去更像一個工業(yè)標準的網(wǎng)絡(luò)管理系統(tǒng)。雖然目前 NewView 在吸引第三方應用開發(fā)廠商方面還不如 openView，但這種差距正在縮小。但后來 SNM 在市場的地位被 HP 的 OpenView 所取代，現(xiàn)在 SNM 在市場中所占的份額越來越少，不過 SNM 仍然具有很多第三方開發(fā)的應用。以往的網(wǎng)絡(luò)管理系統(tǒng)往往是廠商在自己的網(wǎng)絡(luò)系統(tǒng)中開發(fā)的專用系統(tǒng)，很難對其他廠商的網(wǎng)絡(luò)系統(tǒng)、通信設(shè)備軟件等進行管理，這種狀況很不適應網(wǎng)絡(luò)異構(gòu)互聯(lián)的發(fā)展趨勢。 SGMP 給出了監(jiān)控網(wǎng)關(guān) (OSI 第三層路由器 )的直接手段， SNMP 則是在其基礎(chǔ)上發(fā)展而來。 出于通用性的考慮， CMlS/CMIP 的功能與結(jié)構(gòu)跟別 MP 很不相同， SNMP 是按照簡單和易于實現(xiàn)的原則設(shè)計的 ，而 CMIS／ CMIP 則能夠提供支持一個完整網(wǎng)絡(luò)管理方案所需的功能。 CMOT 的一個致命弱點在于它是一個過渡性的方案，而沒有人會把注意力集中在一個短期方案上。 2. 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全的重要性 隨著網(wǎng)絡(luò)的快速普及及網(wǎng)絡(luò)的開放性、共享性、互聯(lián)程度的擴大，特別是Inter 網(wǎng)的出現(xiàn)，網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。為了解決這個問題，國內(nèi)外很多研究機構(gòu)在這方面做了很多工作，例如數(shù)據(jù)加密技術(shù)、身份認證、數(shù)字簽名、防火墻、安全審計、安全管理、安全內(nèi)核、安全協(xié)議、 IC 卡（存儲卡、加密存儲卡、 CPU 卡）、拒絕服務(wù)、網(wǎng)絡(luò)安全性分析、網(wǎng)絡(luò)信息安全監(jiān)測和信息安全標準化等方面的研究。即公開密鑰加密，它的加密密鑰和解密密鑰是不同的。 密碼技術(shù)是解決網(wǎng)絡(luò)上信息傳輸安全的主要方法，它不僅建立在安全的加密算法設(shè)計上，而且取決于安全協(xié)議設(shè)計的安全性。至于說到 “他知道什么 ”，最普通的就是口令，口令具有共享秘密的屬性。 (1) 雙重認證。這種解決辦法可以持續(xù)較長的時間，并且更加靈活，存儲信息更多，并具有可供選擇的管理方式。國內(nèi)也開始了這方面的研究，但跟國外先進水平相比，差距比較大。如果一個企業(yè)只是使用 Inter 的電子郵件和 WWW 服務(wù)器向外部提供信息，那么就可以在 FireWall 上設(shè)置使得只有這兩類應用的數(shù)據(jù)包可以通過。如果沒有一條規(guī)則能符合，防火墻就會使用默認規(guī)則，一般情況下，默認規(guī)則就是要求防火墻丟棄該包。 應用級網(wǎng)關(guān)有較好的訪問控制，是目前最安全的防火墻技術(shù)，但實現(xiàn)困難，而且有的應用級網(wǎng)關(guān)缺乏 “透明度 ”。代理服務(wù)技術(shù)主要通過專用計算機硬件（如工作站）來承擔。 b. 防火墻技術(shù)的另外一個弱點在于數(shù)據(jù)在防火墻之間的更新是一個難題，如果延遲太大將無法支持實時服務(wù)請求。 ? CGI： 很難想象沒有 CGI 技術(shù)，網(wǎng)站會是什么樣子。但蓋茨沒有受到太大影響，遭罪的是普通人。 21 ? 網(wǎng)絡(luò)管理員 ： 管理員可以得到我們的個人資料、看我們的信、知道我們的信用卡號碼，如果 做些手腳的話，還能通過網(wǎng)絡(luò)控制我們的機器。當您連接到因特網(wǎng)上時，這個程序就會通知黑客，來報告您的 IP 地址以及預先設(shè)定的端口。此方法在所有方法中危害最大，因為它不需要像第二種方法那樣一遍又一遍地嘗試登錄服務(wù)器，而是在本地將加密后的口令與 Shadow 文件中的口令相比較就能非常容易地破獲用戶密碼，尤其對那些弱智用戶 (指口令安全系數(shù)極低的用戶，如某用戶賬號為 zys，其口令就是 zys66 66666或干脆就是zys 等 )更是在短短的一兩分鐘內(nèi)，甚至幾十秒內(nèi)就可以將其干掉。這是標準的注意力經(jīng)濟模式。 ? 微軟的軟件 ： 產(chǎn)品越做越大，發(fā)現(xiàn)漏洞之后用來堵住漏洞的補丁也越做越大，但是又有多少普通用戶真正會去下載它們？ ? 比爾 ? Java： 作為一種技術(shù)，到底是否成功， 一直備受爭議。規(guī)則檢查防火墻不依靠與應用層有關(guān)的代理，而是依靠某種算法來識別進出的應用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應用級代理在過濾數(shù)據(jù)包上更有效。包過濾技術(shù)和應用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過，一旦判斷條件滿足，防火墻內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和運行狀態(tài)便 “暴露 ”在外來用戶面前，這就引入了代理服務(wù)的概念，即防火墻內(nèi) 外計算機系統(tǒng)應用層的 “鏈接 ”由兩個終止于代理服務(wù)的 “鏈接 ”來實現(xiàn)，這就成功地實現(xiàn)了防火墻內(nèi)外計算機系統(tǒng)的隔離。 在實 際工作中，應用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。一個路由器便是一個 “傳統(tǒng) ”的網(wǎng)絡(luò)級防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個 IP 包來自何方，去向何處。它可以允許或禁止一類具體的 IP 地址訪問，也可以接收或拒絕 TCP/IP 上的某一類具體的應用。從 1991 年 6 月 ANS 公司的第一個防火墻產(chǎn)品 ANS Interlock Service 防火墻上市以來，到目前為止，世界上至 少有幾十家以上的公司和研究所在從事防火墻技術(shù)的研究和產(chǎn)品開發(fā)。隨著電信行業(yè)堅持放松管制， GTE 已經(jīng)使用數(shù)字證書與其競爭對手（包括 Sprint 公司和 AT＆ T 公司）共享用戶信息。在安全方面最薄弱的一環(huán)是規(guī)程分析儀的竊聽，如果口令以明碼（未加密）傳輸，接入到網(wǎng)上的規(guī)程分析儀就會在用戶輸入帳戶和口令時將它記錄下來，任何人只要獲得這些信息就可以上網(wǎng)工作。更普通的是通過視網(wǎng)膜血管分布圖來識別，原理與指紋識別相同，聲波紋識別也是商業(yè)系統(tǒng)采用的一種識別方式。數(shù)字簽名每次還與被傳送的數(shù)據(jù)和時間等因素有關(guān)。因為除了加密算法本身之外，密鑰合理分配、加密效率與現(xiàn)有系統(tǒng)的結(jié)合性，以及投入產(chǎn)出分析都應在實際環(huán)境中具體考慮。 網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全的技術(shù)現(xiàn)狀 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，如何保證網(wǎng)絡(luò)上存儲和傳輸信息的安全性成了新的安全研究熱點。 由于不要求任何網(wǎng)絡(luò)層協(xié)議， LMMP 比 CMIS/CMIP 或 CMOT 都易于實現(xiàn)，然而沒有網(wǎng)絡(luò)層提供路由信息， LMMP 信息不能跨越路由器，從而限制了它只能在局域網(wǎng)中發(fā)展。 CMIS使用的應用協(xié)議并沒有根據(jù) CMOT而修改， CMOT仍然依賴于 CMISE、ACSE 和 ROSE 協(xié)議，這和 CMIS／ CMIP 是一樣的。 CMIS 定義了每個網(wǎng)絡(luò)組成部分提供的網(wǎng)絡(luò)管理服務(wù)，這些服務(wù)在本質(zhì)上是很普通的， CMIP 則是實現(xiàn) CMIS 服務(wù)的協(xié)議。這些工作組隨后相應推出了 SNMP(Simple NetWork Management Protoc011988)和 CMOT(CMIP／ CMIS Over TCP／ IPl989)等網(wǎng)絡(luò)管理協(xié)議，下面進行簡單介紹。而缺乏一種第三方廠商的支持，將損害 SPECTRUM 的長期發(fā)展前景，雖然它現(xiàn)在擁有很多先進的特性。 SNM 只能運行在 SUN 平臺上，它 需要 32MB 內(nèi)存和 400MB 硬盤。 NetView 的市場人員宣