【正文】 濫用，以及各種災(zāi)難事故的發(fā)生，這些都時刻威脅著網(wǎng)絡(luò)的業(yè)務(wù)運轉(zhuǎn)和信息安全。，飛魚星安全聯(lián)動系統(tǒng)(ASN)是一套即時、互動和統(tǒng)一的網(wǎng)絡(luò)安全新架構(gòu)，能有效解決內(nèi)網(wǎng)的安全問題，重建和優(yōu)化內(nèi)網(wǎng)秩序。但在連接能力信息、流通能力提高的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出，整體的網(wǎng)絡(luò)安全主要表現(xiàn)在以下幾個方面：網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓撲結(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理的安全等。因此，在網(wǎng)絡(luò)工程的設(shè)計和施工中，必須優(yōu)先考慮保護人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計算機及其他弱電耐壓設(shè)備的防雷。所謂系統(tǒng)的安全是指整個網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。在應(yīng)用系統(tǒng)的安全性上，主要考慮盡可能建立安全的系統(tǒng)平臺，而且通過專業(yè)的安全工具不斷發(fā)現(xiàn)漏洞，修補漏洞，提高系統(tǒng)的安全性。在對威脅進行分析的基礎(chǔ)上，規(guī)定了五大標準網(wǎng)絡(luò)安全服務(wù)。這種保護服務(wù)可提供給用戶組。電子簽名的主要目的是防止抵賴，防止否認，給仲裁提供證據(jù)。訪問控制還可以直接支持數(shù)據(jù)機密性、數(shù)據(jù)完整性、可用性以及全法使用的安全目標（訪問控制矩陣）。：冒充別人的身份在網(wǎng)上發(fā)送文件。密碼技術(shù)：接收方在收到已加密的信息時，通過自己掌握的密鑰解密，能夠確定信息的發(fā)送者是掌握了另一個密鑰的那個人。例如，當(dāng)公司開始出售它在股票市場上的份額時，在消息公開以前的準備階段中，公司可能與銀行有大量通信。例如，鏈路層負責(zé)建立點到點通信，網(wǎng)絡(luò)層負責(zé)路由，傳輸層負責(zé)建立端到端的進程通信信道。在網(wǎng)絡(luò)層，可以采用傳統(tǒng)的防火墻技術(shù)，如在TCP/IP網(wǎng)絡(luò)中，采用IP過濾功能的路由器，以控制信息在內(nèi)外網(wǎng)絡(luò)邊界的流動，還可以使用IP加密傳輸信道技術(shù)IP SEC，在兩個網(wǎng)絡(luò)結(jié)點間建立透明的安全加密信道。第二章 網(wǎng)絡(luò)安全技術(shù)167。現(xiàn)在有幾種類型的加密技術(shù)，包括硬件的和軟件的。加密技術(shù)不但可以防止非授權(quán)用戶搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。常采用用戶名和口令等最簡單方法進行用戶身份的認證識別。這種方式對于個人用戶或小企業(yè)或許還能滿足需要，但如果個人或企業(yè)有電子商務(wù)方面的需求，就不能完全滿足了。167。基于網(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、變換機、訪問服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。通常提供強大的工具構(gòu)造特定的攻擊方法。訪問控制是通過一個參考監(jiān)視器，在每一次用戶對系統(tǒng)目標進行訪問時，都由它來進行調(diào)節(jié)，包括限制合法用戶的行為。目前VPN主要采用了如下四項技術(shù)來保障安全：隧道技術(shù)（Tunneling）、加/解密技術(shù)（ Encryptionamp。企業(yè)的總部放置一臺網(wǎng)關(guān)作為Server，其他設(shè)備完全就可以隨時通過VPN互聯(lián)，并且每個屬于該VPN內(nèi)的Client設(shè)備都能夠互相訪問（）。（二）動態(tài)VPN的關(guān)鍵技術(shù)動態(tài)VPN采用UDP方式建立隧道，使用這種技術(shù)建立隧道的最大好處就是能夠穿透NAT/防火墻。，既有固定IP地址用戶（總部固定網(wǎng)絡(luò)），也有動態(tài)IP地址用戶（分支機構(gòu)ADSL撥號和SOHO用戶普通撥號）。VPN的主要特點就是在公共網(wǎng)絡(luò)構(gòu)建一個屬于企業(yè)自己的專用網(wǎng)絡(luò)，使用了VPN技術(shù)之后企業(yè)內(nèi)部的設(shè)備都在一個VPN網(wǎng)絡(luò)內(nèi)部，不管各個分支機構(gòu)所處何地都像是公司內(nèi)部網(wǎng)絡(luò)，可以直接進行訪問和數(shù)據(jù)傳輸。 A，也可以屬于VPN B，并且可以在VPN A中作為Client設(shè)備，同時還可以在VPN B中作為Server設(shè)備使用。華為3Com公司提出的動態(tài)VPN解決方案充分考慮了企業(yè)用戶的需求，同時也考慮了運營商的利益。漏洞的表現(xiàn)形式各式各樣，從不同的方面來劃分，漏洞的類型是不一樣的，下面從幾不同方面簡要介紹一下。比如攻擊者給管理員發(fā)一封郵件，帶了一個特殊的JPG圖片文件，如果管理員打開圖片文件就會導(dǎo)致看圖軟件的某個漏洞被觸發(fā)，從而系統(tǒng)被攻擊；介如果管理員不看這個圖片，則不會受攻擊。（一）程序邏輯結(jié)構(gòu)漏洞 這種類型的漏洞有可能是編程人員在編寫程序時，因為程序的邏輯設(shè)計不合理或者錯誤而造成的程序邏輯漏洞。例如，系統(tǒng)本身非常完備安全，但系統(tǒng)登錄所需要的管理員賬號或口令因為設(shè)置過于簡單而被黑客拆解出來了，那么其他的環(huán)節(jié)再安全也沒有絲毫意義了。（四）遠程拒絕服務(wù)攻擊利用這類漏洞，無須登錄即可對系統(tǒng)發(fā)起拒絕服務(wù)攻擊，使系統(tǒng)或相關(guān)的應(yīng)用程序崩潰或失去響應(yīng)能力。攻擊方為客戶機，被攻擊方為目標主機。從以上的漏洞分類可以看出漏洞是廣泛存在的，不同的設(shè)備、操作系統(tǒng)。二、漏洞的隱蔽性網(wǎng)絡(luò)系統(tǒng)安全漏洞是指可以用來對系統(tǒng)安全造成危害、系統(tǒng)本身具有的或設(shè)置上存在的缺陷。在實際使用中，用戶會發(fā)現(xiàn)系統(tǒng)中存在錯誤，而入侵者會有意利用其中的某些錯誤并使其成為威脅系統(tǒng)安全的工具，這時人們會認識到這個錯誤是一個系統(tǒng)安全漏洞。167。三、A類，允許過程用戶經(jīng)授權(quán)訪問的漏洞A類漏洞是威脅性最大的一種漏洞。利用漏洞掃描技術(shù)可以快速地在大范圍風(fēng)發(fā)現(xiàn)已知的系統(tǒng)安全漏洞。沒有經(jīng)過防火墻的數(shù)據(jù)，防火墻無法檢查，比如撥號上網(wǎng)。五、防火墻無法解決TCP/IP等協(xié)議的漏洞。八、防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。167。結(jié)果存儲器和報告生成工具：就是利用當(dāng)前活動掃描知識庫中存儲的掃描結(jié)果，生成掃描報告。在匹配原理上，網(wǎng)絡(luò)漏洞掃描器可以采用的是基于規(guī)則的匹配技術(shù)，即根據(jù)安全專家對網(wǎng)絡(luò)系統(tǒng)安全漏洞、黑客攻擊案例的分析和系統(tǒng)管理員關(guān)于網(wǎng)絡(luò)系統(tǒng)安全配置的實際經(jīng)驗，形成一套標準的系統(tǒng)漏洞庫，然后在此基礎(chǔ)之上構(gòu)成相應(yīng)的匹配規(guī)則，由程序自動進行系統(tǒng)漏洞掃描的分析工作。一個好的掃描器能對它得到的數(shù)據(jù)進行分析，幫助用戶查找目標主機的漏洞。int i。ex[4]=GET /cgibin/?/../../../../etc/motd HTTP/ \n\n。 exit(1)。,heh_addr,heh_length)。 if(strstr(buff,fmsg)!=NULL){ printf(\nFound :%s/n, ex[i])。漏洞掃描通常采用兩種策略，第一種是被動式策略，第二種是主動式策略。通常，它涉及到系統(tǒng)的內(nèi)核、文件的屬性、操作系統(tǒng)的補丁等。一旦發(fā)現(xiàn)改變就通知管理員。167。提供安全策略配置功能，用戶可根據(jù)不同的安全需求，選取或自定義不同的掃描策略，對相應(yīng)的網(wǎng)絡(luò)設(shè)施進行掃描分析。系統(tǒng)采用完善的防護措施，有效地防止被濫用和盜用。計算機通信網(wǎng)絡(luò)，隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展而發(fā)展,從傳統(tǒng)的有線網(wǎng)絡(luò)發(fā)展到今天的無線網(wǎng)絡(luò),作為無線網(wǎng)絡(luò)主要網(wǎng)絡(luò)之一的無線局域網(wǎng)WLAN(Wireless Local Network),滿足了人們實現(xiàn)移動辦公的夢想，為用戶創(chuàng)造了一個豐富多彩的自由天空，讓人能夠真正體會到網(wǎng)絡(luò)無處不在的奇妙感覺。（二）安全性能強，無線局域網(wǎng)采取網(wǎng)絡(luò)隔離及網(wǎng)絡(luò)認證措施；無線局域網(wǎng)設(shè)置有嚴密的用戶口令及認證措施，防止非法用戶入侵；無線局域網(wǎng)設(shè)置附加的第三份數(shù)據(jù)加密方案，即使信號被盜聽也難以理解其中的內(nèi)容。（六）開發(fā)運營成本低。三、無線局域網(wǎng)的應(yīng)用 WLAN作為有線網(wǎng)絡(luò)無線延伸，可以廣泛應(yīng)用在生活社區(qū)、游樂園、旅館、機場車站等游玩區(qū)域?qū)崿F(xiàn)旅游休閑上網(wǎng)；可以應(yīng)用在政府辦公大樓、校園、企事業(yè)等單位實現(xiàn)移動辦公，方便開會及上課等；可以應(yīng)用在醫(yī)療、金融證券等方面，實現(xiàn)醫(yī)生在路途中對病人進行網(wǎng)上診斷，實現(xiàn)金融證券室外網(wǎng)上交易。使用無線局域網(wǎng)不僅可以減少對布線的需求和與布線相關(guān)的一些開支，還可以為用戶提供靈活性更高、移動性更強的信息獲取方法。（四）建網(wǎng)容易，管理方便。二、WLAN的特點掃描控制臺運行Windows 2000/XP系統(tǒng)下，具有直觀的圖形用戶界面，主要完成掃描控制功能。能夠?qū)赥CP/IP的網(wǎng)絡(luò)主機實施掃描分析，具有跨網(wǎng)關(guān)操作的能力，可通過專線或撥號接入任何基于TCP/IP 的網(wǎng)絡(luò)系統(tǒng)，支持本地或遠程兩種工作模式。 NETSCAN該產(chǎn)品于2002年11月通過中國人民解放軍信息安全測評認證中心的測評認證。它還針對已知的網(wǎng)絡(luò)漏洞進行檢驗。三、基于目標的漏洞檢測技術(shù)。漏洞掃描歸納起來主要有4種技術(shù)：一、基于應(yīng)用的檢測技術(shù)。 }}提示：編寫漏洞掃描器探查遠程服務(wù)器上可能存在的具有安全隱患的文件是否存在時，通常用socket建立過程，使用80端口，對這個端口發(fā)送一個GET文件的請求服務(wù)器接收到請求會返回文件內(nèi)容，如果文件不存在則返回一個錯誤提示，通過接收返回內(nèi)容可以判斷文件是否存在。 i7。 /*創(chuàng)建用于監(jiān)聽的套接字*/ = AF_INET。char *fmsg=HTTP/ 200 OK。 /*緩沖區(qū)*/char *ex[10]。 return(1)。漏洞掃描器根據(jù)目標系統(tǒng)的的操作系統(tǒng)平臺和提供的網(wǎng)絡(luò)服務(wù)，調(diào)用漏洞資料庫中已知的各種漏洞進行逐一檢測，通過對探測響應(yīng)數(shù)據(jù)包的分析判斷是否存在已知安全漏洞。主機漏洞掃描器是指在系統(tǒng)本地運行檢測系統(tǒng)漏洞的程序，網(wǎng)絡(luò)漏洞掃描器是指基于Internet遠程檢測目標網(wǎng)絡(luò)和主機系統(tǒng)漏洞的程序。用戶配置控制臺模塊：用戶配置控制臺與安全管理員進行交互，用來設(shè)置要掃描的目標系統(tǒng)以及掃描哪些漏洞?？傊?，隨著互聯(lián)網(wǎng)的日趨普及，互聯(lián)網(wǎng)上的犯罪活動也越來越多，特別是互聯(lián)網(wǎng)大范圍的開放以及金融領(lǐng)域網(wǎng)絡(luò)的接入，使得越來越多的系統(tǒng)遭到入侵攻擊的威脅。例如，利用開放了3389端口取得沒打過XP補丁的Windows 2000的超級權(quán)限，利用ASP程序進行腳本攻擊等。三、防火墻不能防止最新的未設(shè)置策略或錯誤配置引起的安全威脅。防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 167。也就是說，這些漏洞存在于操作系統(tǒng)網(wǎng)絡(luò)傳送本身。沒過多久，由用戶在實際使用或由安全人員和黑客在研究中發(fā)現(xiàn)許多漏洞。許多錯誤在通常情況下并不會對系統(tǒng)安全造成危害，只有被人在某些條件下故意使用時才會影響系統(tǒng)安全。因而隨著時間的推移，舊的漏洞會不斷消失，新的漏洞會不斷出現(xiàn)。如WEB瀏覽器IE存在不少漏洞，可以使一些惡意的網(wǎng)站用HTML標記通過那些漏洞在瀏覽的客戶機中執(zhí)行程序或讀寫文件。（六）欺騙 利用這類漏洞，攻擊者可以對目標系統(tǒng)實施某種形式的欺騙，這通常是由于系統(tǒng)的實現(xiàn)上存在某些缺陷造成的。例如， LINUX的RESTORE是一個SUID程序，它執(zhí)行時間可以獲得系統(tǒng)ROOT權(quán)限。這種類型的漏洞最典型的是緩沖區(qū)溢出漏洞，它也是被黑客利用得最多的一種類型的漏洞。相對于上一各漏洞其危害性較大，如果此時出現(xiàn)了蠕蟲或傻瓜化的利用程序，那么會導(dǎo)致大批系統(tǒng)受到攻擊。（二）從數(shù)據(jù)角度分為：能讀按理不能讀的數(shù)據(jù)庫，包括內(nèi)存中的數(shù)據(jù)庫、文件中的數(shù)據(jù)、用戶輸入的數(shù)據(jù)、數(shù)據(jù)庫中的數(shù)據(jù)等。廣義的漏洞是指非法用戶未經(jīng)授權(quán)獲得訪問或提高其訪問層次的硬件或軟件特征。對于運營商來說，也希望能夠借助目前自己的網(wǎng)絡(luò)來給企業(yè)用戶構(gòu)建VPN網(wǎng)絡(luò)，滿足跨地域企業(yè)組網(wǎng)需求。其次，Client和Client之間建立隧道時也必須經(jīng)過認證，就是說必須兩個Client都經(jīng)過同一個Server的認證才允許建立隧道，這樣就可以防止公網(wǎng)上非法用戶的入侵。不光如此，每當(dāng)更改一臺設(shè)備的IP地址時，其他N－1個設(shè)備都需要重新更改配置，這樣給維護帶來了很大的成本，并且也容易導(dǎo)致人為的錯誤?，F(xiàn)在的寬帶不斷的推廣應(yīng)用，如果中小企業(yè)使用xDSL或者以太網(wǎng)接入方式的話要比以前專線方式接入節(jié)省大量的線路租用費用，但是一般的xDSL接入或者以太網(wǎng)接入使用的是動態(tài)的IP地址，這樣就出現(xiàn)了一個問題，如何使用動態(tài)的IP地址來建立企業(yè)自己的VPN網(wǎng)絡(luò)？顯然傳統(tǒng)的VPN構(gòu)建方式已經(jīng)滿足不了現(xiàn)在的應(yīng)用了，為此華為3Com公司的Quidway SecPath VPN安全網(wǎng)關(guān)，推出適合動態(tài)IP地址構(gòu)建企業(yè)VPN的動態(tài)VPN技術(shù)和解決方案。Server在一個VPN當(dāng)中的主要任務(wù)就是獲得Client的注冊信息，當(dāng)有一個Client需要訪問另一個Client時通知該Client所要到達目的地的真正地址。但是這些方案都存在一個弊端，就是必須是按照事先的配置進行組網(wǎng)，并且要完成一個全聯(lián)通的網(wǎng)絡(luò)時（），結(jié)構(gòu)和配置就變得復(fù)雜。167。提供該項產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安生漏洞掃描特性升級，并給出相應(yīng)的改進建議。二、網(wǎng)絡(luò)拓撲。商品化的安全掃描工具為網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)提供了強大的支持。入侵檢測技術(shù)是網(wǎng)絡(luò)安全研究的一個熱點，入侵檢測是對對防火墻技術(shù)的一種邏輯補償技術(shù)，是一種積極主動的安全防護技術(shù)，提供了對內(nèi)部入侵、外部入侵和誤操作的實時 保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。由于數(shù)字簽名是利用密碼技術(shù)進行的，所以其安全性取決于所采用的密碼體制的安全制度。此外，現(xiàn)今良好的防火墻還采用了VPN、監(jiān)視和入侵檢測技術(shù)。二、公用密鑰加密體制公用密鑰需要兩個相關(guān)密碼，一個密碼作為公鑰，另一個密碼作為私鑰。加密技術(shù)是將資料加密，以防止信息泄露的技術(shù)。這種技術(shù)實現(xiàn)了基于進程的安全服務(wù)和加密傳輸信道，采用公鑰體系做身份認證，具有高的安全強度。需要對網(wǎng)絡(luò)安全服務(wù)所屬的協(xié)議層次進行分析，沒有哪個單獨的層次能夠提供全部的網(wǎng)絡(luò)安全服務(wù)，每個層次都能做出自己的貢獻。路由選擇控制機制使得路由能動態(tài)地或預(yù)定地選取，以便使用物理上安全的子網(wǎng)絡(luò)、中繼站或鏈路來進行通信，保證敏感數(shù)據(jù)只在具有適當(dāng)保護級別的路由上傳輸。公證機構(gòu)從中轉(zhuǎn)的信息里提取必要的證據(jù)，日后一旦發(fā)生糾紛，就可以據(jù)此做出仲裁。其實質(zhì)在于對特定數(shù)據(jù)單元的簽名，并且只有從形成該簽名的那個機密信息中產(chǎn)生出來，機密的持有者唯一。（三）數(shù)據(jù)完整性機制數(shù)據(jù)完整性包括數(shù)據(jù)單元的完整性和數(shù)據(jù)字段的完整性兩個方面。（一）加密機制加密是提供信息保密的核心方法。（三）數(shù)據(jù)完整性服務(wù)數(shù)據(jù)完整性是指通過網(wǎng)上傳輸?shù)臄?shù)據(jù)應(yīng)阻止非法實體對交換數(shù)據(jù)的修改、插入、刪除、替換或重發(fā)，以保證合法用戶接收和使用該數(shù)據(jù)的真實性。大量的黑客隨時隨地都可能嘗試向網(wǎng)絡(luò)滲透，截獲合法用戶口令并冒名頂替，以合法身份入網(wǎng)。一個的網(wǎng)絡(luò)安全體系結(jié)構(gòu)框架，反映了信息系統(tǒng)的安全需求和體系結(jié)構(gòu)的共性