【正文】 換方。 17 加密技術 信息交換加密技術分為兩類：即對稱加密和非對稱加密。所以對用戶來說 ,保守的方法是選擇一個通過多家權威認證機構測試的產(chǎn)品。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證、防止病毒與黑客侵入等方向發(fā)展。 15 4. 防火墻技術 防火墻的定義和由來 網(wǎng)絡防火墻技術是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，訪問內(nèi)部網(wǎng)絡資源 ，保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。此外，在 Unix 上應該將 .rhost 和 文件刪除，因為不用猜口令，這些文件就會提供登錄訪問！ 7．限制在防火墻外與網(wǎng)絡文件共享。這是為了確保管理員知道每個主機系統(tǒng)在 運行什么？誰在使用主機？哪些人可以訪問主機 ？不然，即使黑客侵犯了系統(tǒng)，也很難查明。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。局域網(wǎng)中的拓撲結構主要有總線型，星型，環(huán)形等，而目前大多數(shù)都采用載波 偵聽多路訪問 /沖突檢測（ Carrier Sense Multiple Access with Collision Detection ,CSMA/CD）也就是發(fā)展到現(xiàn)在的 , 12 利用這一方法建成的網(wǎng)絡 ,我們稱之為以太網(wǎng) ,在以太網(wǎng)的通信方式中 ,每一個工作站都可以讀取電纜上傳輸?shù)乃袛?shù)據(jù) ,將以太網(wǎng)卡 (支持 )設置為混雜模式 ,網(wǎng)卡便會將電纜上傳輸?shù)乃械臄?shù)據(jù)讀入緩沖區(qū) ,以供系統(tǒng)和程序調(diào)用 .但是入侵者還是可能通過割開網(wǎng)線 ,非法接入等手段來偵聽網(wǎng)絡 ,截獲數(shù)據(jù) ,根據(jù)線路中的數(shù)據(jù) 流量找到網(wǎng)絡的信息中心 ,因此布線要杜絕經(jīng)過不可靠的區(qū)域 ,以防止非法接入 ,在各網(wǎng)段的控制器上設置網(wǎng)段內(nèi)所有主機的介質(zhì)訪問控制器 (MAC)地址 ,該地址為 6 個字節(jié) ,是用來區(qū)分網(wǎng)絡設備的唯一標志 .此外 ,對于每一個接入網(wǎng)絡中的計算機都必須先登記后連線接入 ,網(wǎng)段監(jiān)控程序一旦發(fā)現(xiàn)有陌生的 MAC地址便發(fā)出警告 ,網(wǎng)管人員立即查找該設備 ,因此在局域網(wǎng)中應該采用以下三種組網(wǎng)方式來加強安全防范 . 網(wǎng)絡分段 網(wǎng)絡分段通常被認為是控制網(wǎng)絡廣播風暴的一種基本手段 ,實際上也是保證網(wǎng)絡安全的一項重要措施 .其目的是將非法用戶與敏感的網(wǎng)絡資源 相互隔離 ,從而防上可能的非法偵聽 . 以交換式集線器代替共享式集線器 對局域網(wǎng)的中心計算機進行分段后 ,以太網(wǎng)的偵聽的危險仍然存在 .這是因為網(wǎng)絡最終用戶的接入往往是通過分支集線器而不是中心交換機 ,而使用最廣泛的分支集線器通常是共享式集線器 .這樣 ,當用戶與主機進行數(shù)據(jù)通信時 ,兩臺機器之間的數(shù)據(jù)包 (稱為單播包 Nicest Packet)還是會被同一臺集線器上的其他用戶所偵聽 .因此應該以交換式集線器代替共享式集線器 ,使單播包公在兩個節(jié)點之間傳送 ,從而防止非法偵聽。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡黑客通過計算機網(wǎng)絡對某一目標的報復活動中。 10 常見的網(wǎng)絡攻擊及防范對策 特洛伊木馬 特洛伊木馬是夾帶在執(zhí)行正常 功能的程序中的一段額外操作代碼。認證是指驗證一個最終用戶或設備的身份過程，即認證建立信息的發(fā)送者或接收者的身份。它是一個或一組系統(tǒng)，該系統(tǒng)可以設定哪些內(nèi)部服務可已被外界訪 9 問，外界的哪些人可以訪問內(nèi)部的哪些服務，以及哪些外部服務可以被內(nèi)部人員訪問。 安全管理的實現(xiàn) 信息系統(tǒng)的 安全管理部門應根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應的管理制度或采用相應的規(guī)范。 網(wǎng)絡的安全管理 面對網(wǎng)絡安全的脆弱性，除了在網(wǎng)絡 設計上增加安全服務功能，完善系統(tǒng)的安全保密設施外，還必須花大力氣加強網(wǎng)絡的安全管理，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網(wǎng)絡安全所必須考慮的基本問題。例如從普通使用者的角度來說，可能 僅僅希望個人隱私或機密信息在網(wǎng)絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而網(wǎng)絡提供商除了關心這些網(wǎng)絡信息安全外，還要考慮如何應付突發(fā)的災害、軍事打擊等對網(wǎng)絡硬件的破壞，以及在網(wǎng)絡出現(xiàn)異常時如何恢復網(wǎng)絡通信，保持網(wǎng)絡通信的連續(xù)性。因此，上述的網(wǎng)絡必須有足夠強的安全措施，否則該網(wǎng)絡將是個無用、甚至會危及國家安全的網(wǎng)絡。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術上、產(chǎn)業(yè)上、政策上來發(fā)展它。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。進一步闡述了網(wǎng)絡拓撲結構的安全設計，包括對網(wǎng)絡 拓撲結構的分析和對網(wǎng)絡安全的淺析。 文中 首先 論述了信息網(wǎng)絡安全內(nèi)涵發(fā)生的根本變化，闡述 了 我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網(wǎng)絡安全體系的必要性 ，以及網(wǎng)絡的安全管理。 2 致 謝 ................................................................... 223 5 計算機網(wǎng)絡安全管 理 姓名： 學號： 班級 ： 1. 引 言 概述 21 世紀全世界的計算機都將通過 Inter 聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。 信息安全是國家發(fā)展所面臨的一個重要問題。對于軍用的自動化指揮網(wǎng)絡、 C3I 系統(tǒng)、銀行和政府等傳輸敏感數(shù)據(jù)的計算機網(wǎng)絡系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。 計算機網(wǎng)絡安全的含義 計算機網(wǎng)絡安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡安全的認識和要求也就不同。正因為網(wǎng)絡應用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的。出與對安全的考慮，下面每組內(nèi)的兩項信息處理工作應當分開：計算機操作與 計算機編程；機密資料的接收與傳送；安全管理和系統(tǒng)管理；應用程序和系統(tǒng)程序的編制；訪問證件的管理與其他工作；計算機操作與信息處理系統(tǒng)使用媒介的保管等。 防火墻技術 為保證網(wǎng)絡安全，防止外部網(wǎng)對內(nèi)部網(wǎng)的非法入侵，在被保護的網(wǎng)絡和外部公共網(wǎng)絡之間設置一道屏障這就稱為防火墻。 認證技術 認證技術是防止主動攻擊的重要手段，它對于開放環(huán)境中的各種信息的安全有重要作用。與其它軟件相比，防病毒軟件更需要不斷地更新升級，以查殺層出不窮的計算機病毒。 郵件炸彈 郵件炸彈是最古老的匿名攻擊之一，通過設置一臺機器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡的帶寬，占據(jù)郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，防礙計算機的正常工作。通常，管理員可以使用網(wǎng)絡監(jiān)視工具來發(fā)現(xiàn)這種攻擊，通過主機列表和網(wǎng)絡地址列表來的所在，也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟是來自于網(wǎng)絡外部還是網(wǎng)絡內(nèi)部。 3. 網(wǎng)絡拓撲結構的安全設計 網(wǎng)絡拓撲結構分析 網(wǎng)絡的拓撲結構首先應因地制宜，根據(jù)組網(wǎng)單位的實際情況按照單位的各部門安全性要求劃分，盡量使同一安全級別的上網(wǎng)計算機處于同一網(wǎng)段的安全控制域中。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡，使得所有可用網(wǎng)絡資源都被消耗殆盡，最后導致合法的用戶請求就無法 通過。 2．確保管理員對所有主機進行檢查，而不僅針對關鍵主機。 SSH不會在網(wǎng)上以明文格式傳送口令，而 Tel 和 Rlogin 則正好相反，黑客能搜尋到這些口令，從而立即訪問網(wǎng)絡上的重要服務器。只要日志出現(xiàn)漏洞或時間出現(xiàn)變更，幾乎可以肯定：相關的主機安全受到了威脅。雖然 從理論上看 ,防火墻處于網(wǎng)絡安全的最底層 ,負責網(wǎng)絡間的安全認證與傳輸 ,但隨著網(wǎng)絡安全技術的整體發(fā)展和網(wǎng)絡應用的不斷變化 ,現(xiàn)代防火墻技術已經(jīng)逐步走向網(wǎng)絡層之外的其他安全層次 ,不僅要完成傳統(tǒng)防火墻的過濾任務 ,同時還能為各種網(wǎng)絡應用提供相應的安全服務。 通常 ,防火墻的安全性問題來自兩個方面 :其一是防火墻本身的設計是否合理 ,這類問題一般用戶根本無從入手 ,只有通過權威認證機構的全面測試才能確定。這樣不僅能夠保護用戶的投資 ,對提供防火墻產(chǎn)品的廠商來說 ,也擴大了產(chǎn)品覆蓋面。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。 解密： m=cd(mod n) 利用目前已經(jīng)掌握的知識和理論，分解 2048bit 的大整數(shù)已經(jīng)超過了 64 位計算機的運算能力，因此在目前和預見的將來，它是足夠安全的。要確保整個 PKI 系統(tǒng)的安全、靈活，就必須設計和實現(xiàn)網(wǎng)絡化、安全的且易于操作的 RA 系統(tǒng)。根據(jù)防火墻所采用的技術不同 ,我們可以將它分為四種基本類型 :包過濾型、網(wǎng)絡地址轉(zhuǎn)換 — NAT、代理型和監(jiān)測型。有經(jīng)驗的黑客很容易偽造 IP 地址 ,騙過包過濾型防火墻。其缺點是對系統(tǒng)的整體性能有較大的影響 ,而且代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置 ,大大增加了系統(tǒng)管理的復雜性。 網(wǎng)絡安全是一項動態(tài)的、整體的系統(tǒng)工程，我們致力于結合本國家的網(wǎng)絡特點 ,制定妥善的網(wǎng)絡安全策略 ,將 INTERNET的不安全性降至現(xiàn)有條件下的最低點 ,讓它為我們的工作和現(xiàn)代化建設更好的服務