【正文】 ；機(jī)房電磁輻射；等等各方面的問題。引起網(wǎng)絡(luò)出現(xiàn)安全問題的原因主要有以下幾種。網(wǎng)上的認(rèn)證通常是采用口令來實(shí)現(xiàn)的。但口令比較薄弱，有多種方法可以破譯，其中最常用的兩種方法是把加密的口令破解和通過信道竊取口令。例 如，UNIX操作系統(tǒng)通常把加密的口令保存在某一個文件中，而該文件普通用戶也可讀取。一旦口令文件被入侵者通過簡單拷貝的方式得到，他們就可以對口令進(jìn) 行解密，然后用它來獲取對系統(tǒng)的訪問權(quán)。 用戶使用Telnet或FTP連接他在遠(yuǎn)程主機(jī)上的賬戶，在網(wǎng)上傳輸?shù)目诹钍菦]有加密的。入侵者可以通過監(jiān)視攜帶用戶名和密碼的IP包獲取他們，然后 使用這些用戶名和密碼登錄到系統(tǒng)。假如被截獲的是管理員的用戶名和密碼，那么，獲取該系統(tǒng)的超級用戶訪問就輕而易舉了。TCP或UDP服務(wù)相信主機(jī)的地址。如果使用“IP Source Routing”，那么攻擊者的主機(jī)就可以冒充一個被信任的主機(jī)或客戶。以下具體步驟展示了怎樣冒充被信任的客戶： 第一，攻擊者要使用那個被信任的客戶的IP地址取代自己的地址；第二，攻擊者構(gòu)造一條要攻擊的服務(wù)器和其主機(jī)間的直接路徑，把被信任的客戶作為通向服務(wù)器的路徑的最后節(jié)點(diǎn)；第三，攻擊者用這條路徑向服務(wù)器發(fā)出客戶申請；第四，服務(wù)器接受客戶申請，就好像是從可信任客戶直接發(fā)出的一樣，然后給可信任客戶返回響應(yīng)；第五，可信任客戶使用這條路徑將包向前傳送給攻擊者的主機(jī)。 有缺陷的局域網(wǎng)服務(wù)和相互信任的主機(jī)主機(jī)的安全管理既困難又費(fèi)時。為了降低管理要求并增強(qiáng)局域網(wǎng)，一些站點(diǎn)使用了諸如NIS（Network Information Services 網(wǎng)絡(luò)信息服務(wù)）和NFS（Network Files System 網(wǎng)絡(luò)文件系統(tǒng)）之類的服務(wù)。這些服務(wù)通過允許一些數(shù)據(jù)庫（如口令文件）以分布式方式管理以及允許系統(tǒng)共享文件和數(shù)據(jù)，在很大程度上減輕了過多的管理工作 量。但這些服務(wù)帶來了不安全因素，可以被有經(jīng)驗(yàn)闖入者利用以獲得訪問權(quán)。一些系統(tǒng)處于方便用戶并加強(qiáng)系統(tǒng)和設(shè)備共享的目的，允許主機(jī)們相互“信任”。如果一個系統(tǒng)被侵入或欺騙，那么對于入侵者來說，獲取那些信任該系統(tǒng)的其 他系統(tǒng)的訪問權(quán)就很簡單了。圖32 局域網(wǎng)示意圖主機(jī)系統(tǒng)的訪問控制配置復(fù)雜且難于驗(yàn)證。因此偶然的配置錯誤會使闖入者獲取訪問權(quán)。一些主要的Unix經(jīng)銷商仍然把Unix配置成具有最大訪問權(quán)的系 統(tǒng)，這將導(dǎo)致未經(jīng)許可的訪問。許多網(wǎng)上的安全事故是由于入侵者發(fā)現(xiàn)了設(shè)置中的弱點(diǎn)而造成。 主機(jī)系統(tǒng)的安全性無法很好地估計(jì)：隨著一個站點(diǎn)的主機(jī)數(shù)量的增加，確保每臺主機(jī)的安全性都處在高水平的能力卻在下降。只用管理一臺系統(tǒng)的能力來管理如 此多的系統(tǒng)就容易犯錯誤。另一因素是某些系統(tǒng)管理的作用經(jīng)常變換并行動遲緩。這導(dǎo)致這些系統(tǒng)的安全性比另一些要低。這些系統(tǒng)將成為網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，最終 將破壞這個安全鏈。4網(wǎng)絡(luò)安全保護(hù)機(jī)制 防火墻技術(shù)是指網(wǎng)絡(luò)之間通過預(yù)定義的安全策略，對內(nèi)外網(wǎng)通信強(qiáng)制實(shí)施訪問控制的安全應(yīng)用措施。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實(shí) 施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。由于它簡單實(shí)用且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下，達(dá)到一定的安全要求， 所以被廣泛使用。據(jù)預(yù)測近5年世界防火墻需求的年增長率將達(dá)到174%。目前，市場上防火墻產(chǎn)品很多，廠商還把防火墻技術(shù)并入其硬件產(chǎn)品中， 即在其硬件產(chǎn)品中采取功能更加先進(jìn)的安全防范機(jī)制?？梢灶A(yù)見防火墻技術(shù)作為一種簡單實(shí)用的網(wǎng)絡(luò)信息安全技術(shù)將得到進(jìn)一步發(fā)展。然而，防火墻也并非人們想象 的那樣不可滲透。在過去的統(tǒng)計(jì)中曾遭受過黑客入侵的網(wǎng)絡(luò)用戶有三分之一是有防火墻保護(hù)的，也就是說要保證網(wǎng)絡(luò)信息的安全還必須有其他一系列措施，例如對數(shù) 據(jù)進(jìn)行加密處理。需要說明的是防火墻只能抵御來自外部網(wǎng)絡(luò)的侵?jǐn)_，而對企業(yè)內(nèi)部網(wǎng)絡(luò)的安全卻無能為力。要保證企業(yè)內(nèi)部網(wǎng)的安全，還需通過對內(nèi)部網(wǎng)絡(luò)的有效 控制和管理來實(shí)現(xiàn)。數(shù)據(jù)加密技術(shù)就是對信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息、的真實(shí)內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全 性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術(shù)4種。數(shù)據(jù)存儲加密技術(shù)是以防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分 為密文存儲和存取控制兩種。數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密，常用的有線路加密和端口加密兩種方法。數(shù)據(jù)完整性鑒別技術(shù)的目的是對介入信息 的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證，達(dá)到保密的要求，系統(tǒng)通過對比驗(yàn)證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對數(shù)據(jù)的安全保護(hù)。 數(shù)據(jù)加密在許多場合集中表現(xiàn)為密匙的應(yīng)用，密匙管理技術(shù)事實(shí)上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。數(shù)據(jù)加密技術(shù)主要是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性，能夠有效地防止機(jī)密信息的泄漏。另外，它也廣泛地被應(yīng)用于信息鑒別、數(shù)字簽名等技術(shù)中，來防止電子欺騙，這對信息處理系統(tǒng)的安全起到極其重要的作用。圖 41 數(shù)據(jù)加密圖 數(shù)據(jù)容災(zāi)技術(shù)完整的網(wǎng)絡(luò)安全體系，只有防范和檢測措施是不夠的，還必須具有災(zāi)難容忍和系統(tǒng)恢復(fù)能力。因?yàn)槿魏我环N網(wǎng)絡(luò)安全設(shè)施都不可能做到萬無一失，一旦發(fā)生漏防漏檢事件， 其后果將是災(zāi)難性的。此外，天災(zāi)人禍、不可抗力等所導(dǎo)致的事故也會對信息系統(tǒng)造成毀滅性的破壞。這就要求即使發(fā)生系統(tǒng)災(zāi)難，也能快速地恢復(fù)系統(tǒng)和數(shù)據(jù)，才 能完整地保護(hù)網(wǎng)絡(luò)信息系統(tǒng)的安全?，F(xiàn)階段主要有基于數(shù)據(jù)備份和基于系統(tǒng)容錯的系統(tǒng)容災(zāi)技術(shù)。數(shù)據(jù)備份是數(shù)據(jù)保護(hù)的最后屏障，不允許有任何閃失。但離線介質(zhì)不能保證安全。數(shù)據(jù)容災(zāi)通過IP容災(zāi)技術(shù)來保證數(shù)據(jù)的安全。數(shù)據(jù)容災(zāi)使用兩個存儲器，在兩者之間建立復(fù)制關(guān)系，一個放在本地，一個放在異地。本地存儲器供本地備份系統(tǒng)使用，異地容災(zāi)備份存儲器實(shí)時復(fù)制本地備份存儲器的關(guān)鍵數(shù)據(jù)。兩者通過IP相連，構(gòu)成完整的數(shù)據(jù)容災(zāi)系統(tǒng)，也能提供數(shù)據(jù)庫容災(zāi)功能。集群技術(shù)是一種系統(tǒng)級的系統(tǒng)容錯技術(shù)，通過對系統(tǒng)的整體冗余和容錯來解決系統(tǒng)任何部件失效而引起的系統(tǒng)死機(jī)和不可用問題。集群系統(tǒng)可以采用雙機(jī)熱備份、本 地集群網(wǎng)絡(luò)和異地集群網(wǎng)絡(luò)等多種形式實(shí)現(xiàn)，分別提供不同的系統(tǒng)可用性和容災(zāi)性。其中異地集群網(wǎng)絡(luò)的容災(zāi)性是最好的。存儲、備份和容災(zāi)技術(shù)的充分結(jié)合，構(gòu)成 的數(shù)據(jù)存儲系統(tǒng)，是數(shù)據(jù)技術(shù)發(fā)展的重要階段。隨著存儲網(wǎng)絡(luò)化時代的發(fā)展，傳統(tǒng)的功能單一的存儲器，將越來越讓位于一體化的多功能網(wǎng)絡(luò)存儲器。 自動檢測遠(yuǎn)端或本地主機(jī)安全的技術(shù)，它查詢TCP/IP各種服務(wù)的端口，并記錄目標(biāo)主機(jī)的響應(yīng)，收集關(guān)于某些特定項(xiàng)目的有用信息。這項(xiàng)技術(shù)的具體實(shí)現(xiàn)就是安全掃描程序。掃描程序可以在很短的時間內(nèi)查出現(xiàn)存的安全脆弱點(diǎn)。掃描程序開發(fā)者利用可得到的攻擊方法，并把它們集成到整個掃描中，掃描后以統(tǒng)計(jì)的格式輸出，便于參考和分析 。圖 42 漏洞掃描圖示 物理安全保證網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴(kuò)散。通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴(kuò)散出去的空間信號。為保證網(wǎng)絡(luò)的正常運(yùn)行，在物理安全方面應(yīng)采取如下措施： ①產(chǎn)品保障方面：主要指產(chǎn)品采購、運(yùn)輸、安裝等方面的安全措施。②運(yùn)行安全方面：網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨 單位得到迅速的技術(shù)支持服務(wù)。對一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。③防電磁輻射方面：所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機(jī)。④保安方面：主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)、安全設(shè)備的安全防護(hù)。計(jì)算機(jī)網(wǎng)絡(luò)安全是個綜合性和復(fù)雜性的問題。面對網(wǎng)絡(luò)安全行業(yè)的飛速發(fā)展以及整個社會越來越快的信息化進(jìn)程，各種新技術(shù)將會不斷出現(xiàn)和應(yīng)用。5結(jié)束語：本篇論文是在指導(dǎo)老師的指導(dǎo)下完成的。在研究分析的過程中，給予了指導(dǎo)，并提供了很多與該課題相關(guān)的重要信息，培養(yǎng)了我對事情研究分析的嚴(yán)謹(jǐn)態(tài)度和創(chuàng)新精神，很大程度上提高了我分析問題，解決問題的能力，這非常有利于我現(xiàn)在和今后的學(xué)習(xí)和工作。在此表示衷心的感謝！本篇論文還得到了計(jì)算機(jī)系的各位老師的大力協(xié)助，在此一并表示我的感謝。在老師的悉心指導(dǎo)和嚴(yán)格要求下業(yè)已完成，從課題選擇、方案論證到具體設(shè)計(jì)和調(diào)試，無不凝聚著老師的心血和汗水，在學(xué)習(xí)和生活期間，也始終感受著導(dǎo)師的精心指導(dǎo)和無私的關(guān)懷，我受益匪淺。在此向老師表示深深的感謝和崇高的敬意。不積跬步何以至千里，本設(shè)計(jì)能夠順利的完成，也歸功于各位任課老師的認(rèn)真負(fù)責(zé)，使我能夠很好的掌握和運(yùn)用專業(yè)知識，并在設(shè)計(jì)中得以體現(xiàn)。正是有了他們的悉心幫助和支持，才使我的畢業(yè)論文工作順利完成，在此向，計(jì)算機(jī)系的全體老師表示由衷的謝意。感謝他們四年來的辛勤栽培。 參考文獻(xiàn)：[1] , 1998.[2] 杜飛龍. , 1997.[3] , 1995.[4] , .[5] , 2000.[6] , 1996.[7] , 1993.