【文章內(nèi)容簡(jiǎn)介】 用的監(jiān)控，缺乏對(duì)網(wǎng)絡(luò)設(shè)備及主機(jī)的抗攻擊能力的評(píng)估；4. 對(duì)互聯(lián)網(wǎng)出口沒有嚴(yán)格的訪問限制，及冗余措施；5. 沒有統(tǒng)一立體的防病毒體系，抵抗源于各個(gè)方面的病毒入侵；6. 缺乏嚴(yán)格的安全制度管理，以降低人為因素的信息系統(tǒng)安全風(fēng)險(xiǎn)。 網(wǎng)絡(luò)安全現(xiàn)狀目前，對(duì)網(wǎng)絡(luò)安全采取的主要措施有：1. 利用操作系統(tǒng)、數(shù)據(jù)庫、電子郵件、應(yīng)用系統(tǒng)本身的安全性，對(duì)用戶進(jìn)行權(quán)限控制；2. 某些桌面防病毒軟件。實(shí)際上，僅靠以上的安全措施，不能達(dá)到整體網(wǎng)絡(luò)安全的要求。 系統(tǒng)安全目標(biāo)基于以上的分析，我們認(rèn)為紹興市國(guó)土資源局網(wǎng)絡(luò)安全應(yīng)該實(shí)現(xiàn)以下內(nèi)容：1. 建立一套完備可行的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理策略；2. 在內(nèi)外網(wǎng)上設(shè)置隔離手段，將內(nèi)部網(wǎng)與其他網(wǎng)絡(luò)隔離；3. 建立全面的用戶權(quán)限認(rèn)證體系，健全系統(tǒng)訪問日志，提供有效的監(jiān)督機(jī)制；4. 實(shí)現(xiàn)安全認(rèn)證和數(shù)字簽名技術(shù)，保證通訊安全和通訊的不可抵賴性；5. 對(duì)內(nèi)部用戶進(jìn)行嚴(yán)格的訪問控制及權(quán)限分配；6. 及時(shí)發(fā)現(xiàn)黑客攻擊活動(dòng)，提出報(bào)警，并自動(dòng)采取相應(yīng)對(duì)策；7. 建立完整的系統(tǒng)防病毒體系，防止病毒的侵害；8. 提供監(jiān)控和安全維護(hù)工具，及時(shí)分析和排除網(wǎng)絡(luò)故障；9. 加強(qiáng)人員管理，提高全體人員的網(wǎng)絡(luò)安全意識(shí)和防范技術(shù)。 網(wǎng)絡(luò)安全系統(tǒng)總體規(guī)劃網(wǎng)絡(luò)安全方案必須架構(gòu)在科學(xué)的安全體系和安全框架之上。安全框架是安全方案設(shè)計(jì)和分析的基礎(chǔ)。為了系統(tǒng)地描述和分析安全問題，本節(jié)將通過對(duì)紹興市國(guó)土資源局網(wǎng)絡(luò)分析各個(gè)層次可能存在的安全漏洞和安全風(fēng)險(xiǎn)，按照網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃以及相應(yīng)的國(guó)內(nèi)國(guó)際安全標(biāo)準(zhǔn)，提出我們的解決方案。本節(jié)，我們將針對(duì)以上的內(nèi)容，提出解決紹興市國(guó)土資源局網(wǎng)絡(luò)的安全問題的全局方案，其中討論針對(duì)的問題和所采用的相應(yīng)技術(shù)，主要包括以下內(nèi)容：1. 應(yīng)用防火墻技術(shù)，控制訪問權(quán)限，實(shí)現(xiàn)網(wǎng)絡(luò)安全集中管理；2. 應(yīng)用VPN功能，保證數(shù)據(jù)傳輸過程中的保密性；3. 應(yīng)用入侵檢測(cè)技術(shù)保護(hù)主機(jī)資源，防止非法訪問和惡意攻擊；4. 應(yīng)用安全掃描技術(shù)主動(dòng)探測(cè)網(wǎng)絡(luò)安全漏洞，進(jìn)行網(wǎng)絡(luò)安全評(píng)估；5. 應(yīng)用認(rèn)證和數(shù)字簽名技術(shù)，保證通訊過程中通訊雙方的身份認(rèn)可，同時(shí)實(shí)現(xiàn)通訊的不可抵賴要求；6. 網(wǎng)絡(luò)版防殺病毒軟件，保證網(wǎng)絡(luò)不被病毒感染，萬一感染后的及時(shí)清除，不會(huì)因?yàn)椴《径绊懢W(wǎng)絡(luò)工作效率。 系統(tǒng)安全建設(shè)的實(shí)施根據(jù)紹興市國(guó)土資源局網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)特點(diǎn)、安全需求等角度，我們建議紹興市國(guó)土資源局網(wǎng)絡(luò)安全建設(shè)實(shí)施應(yīng)該具備以下方面：從整個(gè)紹興市國(guó)土資源局網(wǎng)絡(luò)系統(tǒng)考慮，要保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的專網(wǎng)特性和整個(gè)專網(wǎng)對(duì)外部的安全性，鏈路傳輸?shù)陌踩宰顬橹匾?，在市?guó)土資源局到縣國(guó)土資源局、市國(guó)土資源局到辦事處的出口處都加上VPN設(shè)備，這樣從市國(guó)土資源局向下一直到縣國(guó)土資源局就組成一個(gè)虛擬專網(wǎng)，保證了數(shù)據(jù)傳輸?shù)募用苄?。從每個(gè)局域網(wǎng)的安全需求來考慮，在各處局域網(wǎng)出口處放置防火墻，重要服務(wù)器都放置再DMZ區(qū)來保證局域網(wǎng)及服務(wù)器組對(duì)外的安全。防火墻與VPN功能可以集成在一起，確保網(wǎng)絡(luò)以及子網(wǎng)邊界安全以及各子網(wǎng)之間數(shù)據(jù)傳輸?shù)陌踩A(chǔ)上的成本控制。對(duì)整個(gè)廣域網(wǎng)絡(luò)作為一個(gè)整體來防止病毒入侵，便于管理和控制。防病毒產(chǎn)品的配置置為：在市國(guó)土資源局安裝一級(jí)病毒服務(wù)器，縣國(guó)土資源局裝二級(jí)病毒服務(wù)器。同時(shí)在市國(guó)土資源局放置一級(jí)控制臺(tái)、縣國(guó)土資源局放置二級(jí)控制臺(tái)來進(jìn)行分級(jí)管理。病毒庫更新也采用統(tǒng)一更新。由市國(guó)土資源局的一級(jí)服務(wù)器定時(shí)下載更新病毒庫，然后由一級(jí)服務(wù)器向二級(jí)服務(wù)器分發(fā)更新的病毒庫，再由二級(jí)服務(wù)器分發(fā)到客戶端，保證在病毒升級(jí)過程中，不會(huì)產(chǎn)生網(wǎng)絡(luò)到INTERNET出口的安全隱患和帶寬浪費(fèi)。每臺(tái)服務(wù)器都有安全漏洞隱患，解決辦法是安全評(píng)估，建議由專業(yè)安全工程師使用SCANNER等工具和人工對(duì)它們進(jìn)行安全評(píng)估，并用相應(yīng)的技術(shù)和工具,制定具體的安全策略對(duì)服務(wù)器和重要主機(jī)進(jìn)行加固，使安全隱患降到最低。為能夠在非法入侵者攻擊網(wǎng)絡(luò)特別是重要服務(wù)器時(shí)作出及時(shí)響應(yīng)，可在每個(gè)局域網(wǎng)的服務(wù)器區(qū)放置基于網(wǎng)絡(luò)的IDS，如有特別重要的服務(wù)器，可以加上基于主機(jī)的IDS。為保證整個(gè)網(wǎng)絡(luò)的下級(jí)終端安全登錄數(shù)據(jù)庫等重要服務(wù)器，從而避免非法用戶的入侵，建議使用身份認(rèn)證系統(tǒng)。整個(gè)網(wǎng)絡(luò)使用一個(gè)認(rèn)證體系，認(rèn)證服務(wù)器設(shè)在市國(guó)土資源局，由它來分派身份權(quán)限，這樣當(dāng)下級(jí)登錄上級(jí)時(shí)都必須通過身份認(rèn)證時(shí)才能完成。下圖為經(jīng)過優(yōu)化和實(shí)施網(wǎng)絡(luò)安全整體防護(hù)體系保護(hù)的紹興市國(guó)土資源局網(wǎng)絡(luò)拓?fù)洌?防火墻系統(tǒng)的設(shè)計(jì)防火墻是解決子網(wǎng)的邊界安全問題、實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制的有效解決方法。在紹興市國(guó)土資源局網(wǎng)絡(luò)中，我們按照地理區(qū)域劃分子網(wǎng)。并考慮整個(gè)網(wǎng)絡(luò)同其他網(wǎng)絡(luò)之間的邊界以及子網(wǎng)之間的邊界安全。根據(jù)紹興市國(guó)土資源局網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)，可以使用防火墻解決專網(wǎng)的邊界安全問題、實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制，因此對(duì)防火墻的配置為：紹興市國(guó)土資源局、縣國(guó)土資源局的各種服務(wù)器、以及個(gè)人電腦單獨(dú)劃開，通過防火墻的多個(gè)網(wǎng)口將不同的功能區(qū)域劃分開，將防火墻作為各種不同區(qū)域的分割點(diǎn)。因此，防火墻可以進(jìn)行邊界安全的防護(hù)，來保護(hù)整個(gè)局域網(wǎng)。一般防火墻有三個(gè)接口，外網(wǎng)、內(nèi)網(wǎng)、DMZ區(qū)，把防火墻配置在路由器之后，再經(jīng)過防火墻到內(nèi)網(wǎng)和DMZ區(qū)，服務(wù)器組設(shè)在DMZ區(qū)，除對(duì)外提供服務(wù)以為個(gè)人電腦作為內(nèi)網(wǎng)來保護(hù)。其中防火墻加裝有VPN模塊，保證與下級(jí)單位數(shù)據(jù)傳輸安全。由于各個(gè)縣國(guó)土資源局內(nèi)部局域網(wǎng)絡(luò)結(jié)構(gòu)相當(dāng)，所以針對(duì)防火墻的配置結(jié)構(gòu)大致相同，對(duì)于結(jié)構(gòu)特殊，情況有所出入的地點(diǎn)也可以針對(duì)具體情況具體分析，對(duì)放置方法做相應(yīng)改動(dòng)。在關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)上，應(yīng)該考慮防火墻的高可用性，來減少網(wǎng)絡(luò)的單點(diǎn)故障和流量的負(fù)載平衡。防火墻的主要功能：l 包過濾包過濾（Packet Filter）是在網(wǎng)絡(luò)層、傳輸層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過。如當(dāng)你從Internet上下載文件或收發(fā)Email時(shí)，防火墻監(jiān)測(cè)每一個(gè)進(jìn)入或離開的數(shù)據(jù)包，依據(jù)系統(tǒng)內(nèi)設(shè)定的過濾規(guī)則，根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的端口與鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。防火墻定義了多種包過濾方式：IP源地址和IP目標(biāo)地址：數(shù)據(jù)包經(jīng)過防火墻時(shí)，防火墻就會(huì)檢查目標(biāo)地址和源地址，然后根據(jù)規(guī)則決定是否允許該包通過。服務(wù)類型：取舍以一個(gè)特殊服務(wù)為基礎(chǔ)的信息流協(xié)議：如IP、ICMP、TCP、UDP、SMTP等MAC地址：在MAC層上執(zhí)行包過濾檢測(cè)日期和時(shí)間：包括起始時(shí)間、終止時(shí)間，區(qū)間從年、月、日直至小時(shí)、分鐘域名：根據(jù)用戶的需求對(duì)特定站點(diǎn)（URL）進(jìn)行過濾。l 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT防火墻提供了多種NAT方式，使防火墻在復(fù)雜的網(wǎng)絡(luò)環(huán)境可以進(jìn)行靈活的設(shè)置而不降低對(duì)安全性的需求。靜態(tài)映射：一對(duì)一轉(zhuǎn)換類型，所有從“源地址”網(wǎng)絡(luò)發(fā)出的IP包，經(jīng)過防火墻后，IP包的源地址更換為“映射IP地址”，源端口號(hào)不變；返回?cái)?shù)據(jù)包作相應(yīng)的反向變換；適用于需要將一個(gè)內(nèi)部服務(wù)器或主機(jī)映射為“注冊(cè)IP”服務(wù)器或主機(jī)的情況。動(dòng)態(tài)映射：多對(duì)一的轉(zhuǎn)換類型，可以將內(nèi)網(wǎng)中一個(gè)子網(wǎng)映射成外網(wǎng)的一個(gè)合法地址。經(jīng)過了兩個(gè)的網(wǎng)絡(luò)之間的動(dòng)態(tài)映射后，其中一臺(tái)內(nèi)網(wǎng)的主機(jī)經(jīng)過防火墻后，自動(dòng)轉(zhuǎn)化成外網(wǎng)中的合法地址。反向映射：當(dāng)外部主機(jī)對(duì)內(nèi)網(wǎng)中的某臺(tái)主機(jī)主動(dòng)發(fā)起連接時(shí)，需要進(jìn)行反向映射，將外網(wǎng)的一個(gè)合法地址的某個(gè)端口指向內(nèi)網(wǎng)中的某臺(tái)主機(jī)的某個(gè)端口，這個(gè)合法地址與防火墻外網(wǎng)口在一個(gè)網(wǎng)段中。如此的話，如果外網(wǎng)訪問該合法地址時(shí)，防火墻將數(shù)據(jù)包目的地址和端口自動(dòng)轉(zhuǎn)換成內(nèi)網(wǎng)中的主機(jī)地址及對(duì)應(yīng)端口。l 安全簡(jiǎn)單的管理方式系統(tǒng)管理員通過一個(gè)防火墻管理軟件建立、維護(hù)安全策略，加載安全規(guī)則防火墻。防火墻采用B/S結(jié)構(gòu),可以使用各種瀏覽器(IE, Netscape等)對(duì)防火墻進(jìn)行安全策略與規(guī)則的配置及審計(jì)信息的維護(hù)等，為集中管理、執(zhí)行安全策略提供了強(qiáng)有力的工具。使用防火墻的內(nèi)置WEB服務(wù)器可以實(shí)現(xiàn)防火墻的遠(yuǎn)程管理或本地管理，同時(shí)也可通過命令行界面對(duì)防火墻進(jìn)行本地管理。安全策略編輯器：維護(hù)規(guī)則庫，添加、編輯、刪除規(guī)則，加載規(guī)則到防火墻系統(tǒng)上。日志管理器：提供可視化的對(duì)所有通過防火墻網(wǎng)關(guān)的連接跟蹤、監(jiān)視和統(tǒng)計(jì)信息，提供實(shí)時(shí)報(bào)警和入侵檢測(cè)及阻斷功能。系統(tǒng)狀態(tài)查看器：提供實(shí)時(shí)的系統(tǒng)狀態(tài)、審計(jì)和報(bào)警功能。l 實(shí)時(shí)日志與報(bào)警記錄由于所有進(jìn)出的信息包都必須經(jīng)過防火墻，防火墻非常適用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點(diǎn)，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄。這些記錄可以清楚地知道防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊？防火墻的控制是否有效？網(wǎng)絡(luò)是否存在著安全威脅等等。通過防火墻的實(shí)時(shí)日志和報(bào)警記錄，使網(wǎng)絡(luò)管理員能夠?qū)崟r(shí)地監(jiān)控網(wǎng)絡(luò)狀態(tài)。我們?cè)谶x擇防火墻時(shí)，考慮到了衡量防火墻性能的五大指標(biāo)：吞吐量：該指標(biāo)直接影響網(wǎng)絡(luò)的性能，是指防火墻在不丟包的情況下能夠達(dá)到的最大速率。時(shí)延： 入口處輸入幀最后一個(gè)比特到達(dá)至出口處輸出幀的第1個(gè)比特輸出所用的時(shí)間間隔。丟包率：在穩(wěn)態(tài)負(fù)載下，應(yīng)由網(wǎng)絡(luò)設(shè)備傳輸，但由于資源缺乏而被丟棄的幀的百分比。背靠背：從空閑狀態(tài)開始，以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長(zhǎng)度的幀，當(dāng)出現(xiàn)第一個(gè)幀丟失時(shí)，發(fā)送的幀數(shù)。并發(fā)連接數(shù)：并發(fā)連接數(shù)是指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時(shí)建立的最大連接數(shù)。此外，我們還考慮到了以下不容忽視的兩個(gè)要素： 1. 防火墻管理的難易度 防火墻管理的難易度是防火墻能否達(dá)到目的的主要考慮因素之一；2. 防火墻自身的安全性 大多數(shù)人在選擇防火墻時(shí)都將注意力放在防火墻如何控制連接以及防火墻支持多少種服務(wù)，但往往忽略了一點(diǎn)：防火墻也是網(wǎng)絡(luò)上的主機(jī)之一，也可能存在安全問題，防火墻如果不能確保自身安全，則防火墻的控制功能再?gòu)?qiáng)，也不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)。 VPN的設(shè)計(jì)實(shí)施VPN是利用公網(wǎng)來構(gòu)建專用網(wǎng)絡(luò)，它是通過特殊設(shè)計(jì)的硬件和軟件直接通過共享的IP網(wǎng)所建立的隧道來完成的。我們通常將 VPN當(dāng)作 WAN解決方案，但它也可以簡(jiǎn)單地用于 LAN。VPN類似于點(diǎn)到點(diǎn)直接撥號(hào)連接或租用線路連接，盡管它是以交換和路由的方式工作，在大多數(shù)情況下，在VPN上傳輸?shù)臄?shù)據(jù)流是經(jīng)過加密處理的。使用VPN，紹興市國(guó)土資源局內(nèi)部資源享用者只需連入本地ISP的POP（介入服務(wù)提供點(diǎn)）即可相互通信。而利用傳統(tǒng)的WAN組網(wǎng)技術(shù)，彼此之間要有專線相連才可達(dá)到相同目的。在紹興市國(guó)土資源局網(wǎng)絡(luò)互聯(lián)中，可以采用VPN的工作形式，在較低的投資情況下保證數(shù)據(jù)傳輸?shù)陌踩１痉桨附ㄗh在各處，包括紹興市國(guó)土資源局、各縣國(guó)土資源局的出口處加上VPN設(shè)備，其中VPN設(shè)備可以為專用設(shè)備或防火墻的一個(gè)功能模塊，而在各辦事處采用VPN客戶端軟件來建立到上級(jí)的VPN隧道。這樣，可使保障整個(gè)網(wǎng)絡(luò)的虛擬通道，確保全網(wǎng)的鏈路安全。配置VPN設(shè)備應(yīng)具有：1）．安全保障性；2）．服務(wù)質(zhì)量保證（QoS）性；3）．網(wǎng)絡(luò)優(yōu)化性；4）．可擴(kuò)充性和靈活性；5）．可管理性。VPN介紹：公網(wǎng)開“隧道”VPN的核心是被稱為“隧道”的技術(shù)。隧道允許 VPN的數(shù)據(jù)流被路由通過 IP網(wǎng)絡(luò)而不管生成該數(shù)據(jù)流的是何種類型的網(wǎng)絡(luò)或設(shè)備。從這個(gè)意義上說，VPN的操作獨(dú)立于其他的網(wǎng)絡(luò)協(xié)議，隧道內(nèi)的數(shù)據(jù)流可以是IP、IPX、AppleTalk或其他類型的數(shù)據(jù)包。 隧道技術(shù)的核心是隧道協(xié)議。由 3Com公司和 Microsoft公司合作開發(fā)的點(diǎn)對(duì)點(diǎn)隧道協(xié)議 (PPTP)是第一個(gè)廣泛使用來建立 VPN的協(xié)議。目前，Windows 998和 NT PPTP，這就使絕大多數(shù)的桌面計(jì)算機(jī)可以初始化一個(gè) VPN。PPTP可以將其他類型協(xié)議的數(shù)據(jù)包提取出來，然后封裝在一個(gè)PPTP包中，這樣就可以支持客戶機(jī) LAN（例如：移動(dòng)用戶到園區(qū) LAN）和 LAN LAN（例如：銷售機(jī)構(gòu)到園區(qū) LAN）兩種隧道。 防病毒的設(shè)計(jì)實(shí)施由于病毒的特性決定了在實(shí)施網(wǎng)絡(luò)防病毒時(shí)必須由紹興市國(guó)土資源局規(guī)劃統(tǒng)一進(jìn)行，病毒服務(wù)器放置時(shí)，在紹興市國(guó)土資源局、縣國(guó)土資源局都規(guī)劃一個(gè)服務(wù)器組。在紹興市國(guó)土資源局、縣國(guó)土資源局都設(shè)置控制臺(tái)，紹興市國(guó)土資源局為一級(jí)控制臺(tái)，各縣國(guó)土資源局為二級(jí)控制臺(tái)。在設(shè)置病毒庫升級(jí)時(shí)，整個(gè)廣域網(wǎng)由下級(jí)通過上級(jí)升級(jí)，最后由紹興市國(guó)土資源局到公網(wǎng)上升級(jí)更新病毒庫。在選擇防毒軟件時(shí)，應(yīng)確定防病毒軟件達(dá)到或具有以下功能：l 能夠在中心控制臺(tái)上向多個(gè)目標(biāo)系統(tǒng)分發(fā)新版殺毒軟件；l 能夠在中心控制臺(tái)上對(duì)多個(gè)目標(biāo)系統(tǒng)監(jiān)視病毒防治情況；l 支持多種平臺(tái)的病毒防范；l 能夠識(shí)別廣泛的已知和未知病毒，包括宏病毒；l 支持對(duì)服務(wù)器的病毒防治，能夠阻止惡意的小程序破壞l 支持對(duì)電子郵件附件的病毒防治，包括WORD/EXCEL中的宏病毒l 支持對(duì)壓縮文件的病毒檢測(cè)； l 持廣泛的病毒處理選項(xiàng)，如實(shí)時(shí)殺毒、移出、刪除、重新命名等；l 支持病毒隔離，當(dāng)客戶機(jī)試圖上載染毒文件時(shí)，服務(wù)器可自動(dòng)關(guān)閉對(duì)該工作站的連接；l 提供對(duì)病毒特征信息和檢測(cè)引擎的定期在線更新服務(wù)；l 支持日志記錄功能；l 支持多種方式的告警功能（聲音、圖像、等）。 風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估（Vulnerability Assessment）是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，其原理是根據(jù)已知的安全漏洞知識(shí)庫，對(duì)目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查。目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫應(yīng)用等各種對(duì)象。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費(fèi)低、效果好、見效快、與網(wǎng)絡(luò)的運(yùn)行相對(duì)對(duì)立、安裝運(yùn)行簡(jiǎn)單，可以大規(guī)模減少安全管理員的手工勞動(dòng)，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。風(fēng)險(xiǎn)評(píng)估技術(shù)基本上也可分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種，前者主要關(guān)注軟件所在主機(jī)上面的風(fēng)險(xiǎn)漏洞，而后者則是通過網(wǎng)絡(luò)遠(yuǎn)程探測(cè)其它主機(jī)的安全風(fēng)險(xiǎn)漏洞?；跀?shù)據(jù)庫的風(fēng)險(xiǎn)評(píng)估技術(shù)，使風(fēng)險(xiǎn)評(píng)估內(nèi)容更加完善?，F(xiàn)代操作系統(tǒng)代碼數(shù)量巨大，成百上千工程師的共同設(shè)計(jì)編制，很難避免產(chǎn)生安全漏洞。隨著及計(jì)算機(jī)技術(shù)的發(fā)展，操作系統(tǒng)的功能越來越強(qiáng)大，但配置越來越復(fù)雜。面對(duì)橫跨多種平臺(tái)、不同版本、不同種類的操作系統(tǒng)，系統(tǒng)管理員顯得力不從心，經(jīng)常會(huì)造成配置上失誤，產(chǎn)生安全問題。系統(tǒng)安全漏洞涉及口