【文章內(nèi)容簡介】 國際性的特點 ,使其比較脆弱。為了解決這個問題 ,現(xiàn)在人們主要針對數(shù)據(jù)加 密技術、身份認證、防火墻、管理等方面進行了研究。 第一章 網(wǎng)絡安全的定義 安全包括五個基本要素：機密性、完整性、可用性、可控性與可審查性。機密性：確保信息不暴露給未授權的實體或進程。完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否可用性?？煽匦裕嚎梢钥刂剖跈喾秶鷥?nèi)的信息流向及行為方式?？蓪彶樾裕簩Τ霈F(xiàn)的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段。 第二章 網(wǎng)絡安全的威脅 內(nèi)部竊密和破壞 內(nèi)部人員可能對網(wǎng)絡系統(tǒng)形成下列威脅：內(nèi)部涉密人員有意或無意泄密、更改記錄信息；內(nèi)部非授權人員有意無意偷竊 機密信息、更改網(wǎng)絡配置和記錄信息；內(nèi)部人員破壞網(wǎng)絡系統(tǒng)。 非法訪問 非法訪問指的是未經(jīng)授使用網(wǎng)絡資源或以未授權的方式使用網(wǎng)絡資源，它包括非法用戶如黑客進入網(wǎng)絡或系統(tǒng)進行違法操作，合法用戶以未授權的方式進行操作。 2 破壞信息的完整性 攻擊可能從三個方面破壞信息的完整性：改變信息流的次序、時序，更改信息的內(nèi)容、形式；刪除某個消息或消息的某些部分；在消息中插入一些信息，讓收方讀不懂或接收錯誤的信息。 截收 攻擊者可能通過搭線或在電磁波輻射的范圍內(nèi)安裝截收裝置等方式，截獲機密信息，或通過對 信息流和流向、通信頻度和長度等參數(shù)的分析，推出有用信息。它不破壞傳輸信息的內(nèi)容，不易被查覺。 冒充 攻擊者可能進行下列冒充：冒充領導發(fā)布命令、調(diào)閱文件；冒充主機欺騙合法主機及合法用戶；冒充網(wǎng)絡控制程序套取或修改使用權限、口令、密鑰等信息，越權使用網(wǎng)絡設備和資源；接管合法用戶、欺騙系統(tǒng)、占用合法用戶的資源。 破壞系統(tǒng)的可用性 攻擊者可能從下列幾個方面破壞網(wǎng)絡系統(tǒng)的可用性：使合法用戶不能正常訪問網(wǎng)絡資源；使有嚴格時間要求的服務不能及時得到響應；摧毀系統(tǒng)。 重演 重演指的是攻擊者截獲并錄制信息 ，然后在必要的時候重發(fā)或反復發(fā)送這些信息。 抵賴 可能出現(xiàn)下列抵賴行為：發(fā)信者事后否認曾經(jīng)發(fā)送過某條消息；發(fā)信者事后否認曾經(jīng)發(fā)送過某條消息的內(nèi)容；發(fā)信者事后否認曾經(jīng)接收過某條消息；發(fā)信者事后否認曾經(jīng)接收過某條消息的內(nèi)容。 其它威脅 對網(wǎng)絡系統(tǒng)的威脅還包括計算機病毒、電磁泄漏、各種災害、操作失誤等。 第三章 計算機安全技術 利用防火墻來阻止網(wǎng)絡攻擊 防火墻 一方面阻止外界對內(nèi)部網(wǎng)絡資源的非法訪問 ,另一方面也可以防止 系統(tǒng)內(nèi) 3 部對外部系統(tǒng)的不安全訪問 .實現(xiàn)防火墻的主要技術有 :數(shù)據(jù)包過濾 ,應用級網(wǎng)關 , 代理服務和地址轉(zhuǎn)換 . 數(shù)據(jù)加密技術 從密碼體制方面而言 ,加密技術可分為對稱密鑰密碼體制和非對稱密鑰密碼體制 ,對稱 密鑰密碼技術要求加密 ,解密雙方擁有相同的密鑰 ,由于加密和解密使用同樣的密鑰 ,所以 加密方和解密方需要進行會話密鑰的密鑰交換 .會話密鑰的密鑰交換通常采用數(shù)字信封方 式 , 即將會話密鑰用解密方的公鑰加密傳給解密方 , 解密方再用自己的私鑰將會話密鑰還原 . 對稱密鑰密碼技術的應用在于數(shù)據(jù)加密非對稱密鑰密碼技術是加密 , 解密雙方擁有不同的密 鑰 , 在不知道特定信息的情況下 , 加密密鑰和解密密鑰在計算機上是不能相互算出的 . 加密 , 解密雙方各只有一對私鑰和公鑰 . 非對稱密鑰密碼技術的應用比較廣泛 , 可以進行數(shù)據(jù)加密 , 身份鑒別 ,訪問控制 ,數(shù)字簽名 ,數(shù)據(jù)完整性驗證 ,版權保護等 . 入侵檢測技術 入侵檢測系統(tǒng)可以分為兩類 ,分別基于網(wǎng)絡和基于主機 .基于網(wǎng)絡的入侵檢測系統(tǒng)主要 采用被動方法收集網(wǎng)絡上的數(shù)據(jù) .目前 ,在實際環(huán)境中應用較多的是基于主機的入侵檢測系 統(tǒng) ,它把監(jiān)測器以軟件模塊的形式直接安插在了受管服務器的內(nèi)部 ,它除了繼續(xù)保持基于網(wǎng) 絡的入侵檢測系統(tǒng)的功能和優(yōu)點外 ,可以 不受網(wǎng)絡協(xié)議 ,速率和加密的影響 ,直接針對主機 和內(nèi)部的信息系統(tǒng) ,同時還具有基于網(wǎng)絡的入侵檢測系統(tǒng)所不具備的檢查特洛伊木馬 ,監(jiān)視 特定用戶 ,監(jiān)視與誤操作相關的行為變化等功能 . 防病毒技術 隨著計算機技術的不斷發(fā)展 ,計算機病毒變得越來越復雜和高級 ,其擴散速度也越來越 快 ,對計算機網(wǎng)絡系統(tǒng)構(gòu)成極大的威脅 .在病毒防范中普遍使用的防病毒軟件 ,從功能上可 以分為網(wǎng)絡防病毒軟件和單機防病毒軟件兩大類 .單機防病毒軟件一般安裝在單臺 PC 上 , 它們主要注重于所謂的 單機防病毒 , 即對本地和本工作站連接 的遠程資源采用分析掃描的 方式檢測 ,清除病毒 .網(wǎng)絡防病毒軟件則主要注重網(wǎng)絡防病毒 ,一旦病毒入侵網(wǎng)絡或者從網(wǎng) 絡向其它資源感染 ,網(wǎng)絡防病毒軟件會立刻檢測到并加以刪除 . 盜用問題的解決 在路由器上捆綁 IP 和 MAC 地址 .當某個 IP 通過路由器訪問 Inter 時 ,路由器 4 要檢查 發(fā)出這個 IP 廣播包的工作站的 MAC 是否與路由器上的 MAC 地址表相符 , 如果相符就放行 . 否則不允許通過路由器 ,同時給發(fā)出這個 IP 廣播包的工作站返回一個警告信息 . 利用網(wǎng)絡監(jiān)聽維護子 網(wǎng)系統(tǒng)安全 對于網(wǎng)絡外部的入侵可以通過安裝防火墻來解決 , 但是對于網(wǎng)絡內(nèi)部的侵襲則無能為力 . 在這種情況下 ,我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件 ,為管理人員分析 自己的網(wǎng)絡運作狀態(tài)提供依據(jù) .設計一個子網(wǎng)專用的監(jiān)聽程序 .該軟件的主要功能為長期監(jiān) 聽子網(wǎng)絡內(nèi)計算機間相互聯(lián)系的情況 ,為系統(tǒng)中各個服務器的審計文件提供備份 . 第四章 網(wǎng)絡安全分析 網(wǎng)絡與信息安全指的是按照網(wǎng)絡的結(jié)構(gòu)特點，通過從不同的網(wǎng)絡層次、不同的系統(tǒng)應用，采取不同的措施，進行完善和防御，是一個立體的體系結(jié)構(gòu)，涉及多個方面內(nèi) 容。通過對網(wǎng)絡體系結(jié)構(gòu)的全面了解，按照安全風險、需求分析結(jié)果、安全策略以及網(wǎng)絡的安全目標。具體的安全控制系統(tǒng)從以下幾個方面分述 :物理安全、網(wǎng)絡安全、應用安全、安全管理。 物理安全 網(wǎng)絡的物理安全是整個網(wǎng)絡系統(tǒng)安全的保障和前提。由于網(wǎng)絡系統(tǒng)屬于弱電工程 ,耐壓值很低。因此 ,在網(wǎng)絡工程的設計中 ,必須優(yōu)先考慮網(wǎng)絡設備不受電、火災、雷擊等自然災害的侵蝕?？傮w來說物理安全風險主要有地震、水災、火災、雷電等環(huán)境事故 ,因此要盡量避免網(wǎng)絡的物理安全風險對計算機造成傷害。 網(wǎng)絡結(jié)構(gòu)安全 網(wǎng)絡拓撲結(jié)構(gòu)設計是否合理也是 影響網(wǎng)絡系統(tǒng)的安全性的因素。假如進行外部和內(nèi)部網(wǎng)絡通信時 ,內(nèi)部網(wǎng)絡計算機安全就會受到威脅 ,同時對同一網(wǎng)絡上的其他系統(tǒng)也有影響。影響所及還可能涉及法律、金融、政府等安全敏感領域。因