【正文】 護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容，其邏輯安全的內容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網絡安全性的含義是信息安全的引申，即網絡安全是對網絡信息保密性、完整性和可用性的保護。計算機網絡安全的具體含義會隨著使用者的變化而變化，使用者不同，對網絡安全的認識和要求也就不同。從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而網絡提供商除了關心這些網絡信息安全外，還要考慮如何應付突發(fā)的自然災害、軍事打擊等對網絡硬件的破壞，以及在網絡出現(xiàn)異常時如何恢復網絡通信，保持網絡通信的連續(xù)性。從本質上來講，網絡安全包括組成網絡系統(tǒng)的硬件、軟件及其在網絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰(zhàn)。計算機網絡安全與防范 計算機網絡安全現(xiàn)狀計算機網絡安全是指網絡系統(tǒng)的硬、軟件及系統(tǒng)中的數據受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網絡服務不中斷。計算機和網絡技術具有的復雜性和多樣性，使得計算機和網絡安全成為一個需要持續(xù)更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類，而且許多攻擊都是致命的。[6]在Internet網絡上，因互聯(lián)網本身沒有時空和地域的限制，每當有一種新的攻擊手段產生，就能在一周內傳遍全世界，這些攻擊手段利用網絡和系統(tǒng)漏洞進行攻擊從而造成計算機系統(tǒng)及網絡癱瘓。蠕蟲、后門(Backdoors)、DOS和Sniffer(網路監(jiān)聽)是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力，時至今日，有愈演愈烈之勢。這幾類攻擊手段的新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化，攻擊目標直指互聯(lián)網基礎協(xié)議和操作系統(tǒng)層次。從Web程序的控制程序到內核級Rootlets。黑客的攻擊手法不斷升級翻新，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。計算機網絡安全與防范第3章 網絡安全的威脅因素 網絡安全的威脅因素歸納起來，針對網絡安全的威脅主要有:軟件漏洞、配置不當、安全意識不強、病毒、黑客攻擊等?！?〕軟件漏洞：每一個操作系統(tǒng)或網絡軟件的出現(xiàn)都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地，一旦連接入網，將成為眾矢之的?！?〕配置不當: 安全配置不當造成安全漏洞，例如，防火墻軟件的配置不正確，那么它根本不起作用。對特定的網絡應用程序，當它啟動時，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置，否則，安全隱患始終存在?！?〕安全意識不強: 用戶口令選擇不慎，或將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。〔4〕病毒: 目前數據安全的頭號大敵是計算機病毒，它是編制者在計算機程序中插入的破壞計算機功能或數據，影響計算機軟件、硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性等特點。因此，提高對病毒的防范刻不容緩?！?〕黑客攻擊: 對于計算機數據安全構成威脅的另一個方面是來自電腦黑客(backer)。電腦黑客利用系統(tǒng)中的安全漏洞非法進入他人計算機系統(tǒng)，其危害性非常大。從某種意義上講，黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。第4章 幾種常用的網絡安全技術 防火墻技術計算機網絡安全與防范網絡安全所說的防火墻(Fire Wall)是指內部網和外部網之間的安全防范系統(tǒng)。它使得內部網絡與因特網之間或與其它外部網絡之間互相隔離、限制網絡互訪，用來保護內部網絡。防火墻通常安裝在內部網與外部網的連接點上。所有來自Internet（外部網）的傳輸信息或從內部網發(fā)出的信息都必須穿過防火墻[3]。 防火墻的主要功能防火墻的主要功能包括：〔1〕防火墻可以對流經它的網絡通信進行掃描，從而過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。〔2〕防火墻可以關閉不使用的端口，而且它還能禁止特定端口的輸出信息?！?〕防火墻可以禁止來自特殊站點的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務和控制非法用戶對網絡的訪問?！?〕防火墻可以控制網絡內部人員對Internet上特殊站點的訪問?！?〕防火墻提供了監(jiān)視Internet安全和預警的方便端點。 防火墻的主要優(yōu)點防火墻的主要優(yōu)點包括: 〔1〕可作為網絡安全策略的焦點防火墻可作為網絡通信的阻塞點。所有進出網絡的信息都必須通過防火墻。防火墻將受信任的專用網與不受信任的公用網隔離開來，將承擔風險的范圍從整個內部網絡縮小到組成防火墻系統(tǒng)的一臺或幾臺主機上。從而在結構上形成了一個控制中心，極大地加強了網絡安全，并簡化了網絡管理?！?〕可以有效記錄網絡活動由于防火墻處于內網與外網之間，即所有傳輸的信息都會穿過防火墻。所以，防火墻很適合收集和記錄關于系統(tǒng)和網絡使用的多種信息，提供監(jiān)視、管理與審計網絡的使用和預警功能。〔3〕為解決IP地址危機提供了可行方案由于Internet的日益發(fā)展及IP地址空間有限，使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設置網絡地址轉換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。計算機網絡安全與防范 防火墻的主要缺陷由于互聯(lián)網的開放性，防火墻也有一些弱點，使它不能完全保護網絡不受攻擊。防火墻的主要缺陷有：〔1〕防火墻對繞過它的攻擊行為無能為力?！?〕防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對于病毒只能安裝反病毒軟件。〔3〕防火墻需要有特殊的較為封閉的網絡拓撲結構來支持。網絡安全性的提高往往是以犧牲網絡服務的靈活性、多樣性和開放性為代價。 防火墻的分類防火墻的實現(xiàn)從層次上大體可分為三類：包過濾防火墻，代理防火墻和復合型防火墻?！?〕包過濾防火墻包過濾防火墻是在IP層實現(xiàn)，它可以只用路由器來實現(xiàn)。包過濾防火墻根據報文的源IP地址，目的IP地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過。包過濾路由器的最大優(yōu)點是：對用戶來說是透明的，即不需要用戶名和密碼來登陸。包過濾路由器的弊端是明顯的，由于它通常沒有用戶的使用記錄，我們不能從訪問中發(fā)現(xiàn)黑客的攻擊記錄。它還有一個致命的弱點，就是不能在用戶級別上進行過濾，即不能識別用戶與防止IP地址的盜用。如果攻擊者將自己的主機設置為一個合法主機的IP地址，則很容易地通過包過濾防火墻。〔2〕代理防火墻代理防火墻也叫應用層網關防火墻，包過濾防火墻可以按照IP地址來禁止未授權者的訪問。但它不適合單位用來控制內部人員訪問外部網絡，對于這樣的企業(yè)，應用代理防火墻是更好的選擇。代理服務是設置在Internet防火墻網關上的應用，是在網管員允許下或拒絕的特定的應用程序或者特定服務，一般情況下可應用于特定的互聯(lián)網服務，如超文本傳輸、遠程文件傳輸等。同時還可應用于實施較強的數據流監(jiān)控、過濾、記錄和報告等功能。應用層網關包括應用代理服務器、回路級代理服務器、代管服務器、IP通道、網絡計算機網絡安全與防范地址轉換器、隔離域名服務器和郵件技術等?！?〕復合型防火墻復合型防火墻是將數據包過濾和代理服務結合在一起使用，從而實現(xiàn)了網絡安全性、性能和透明度的優(yōu)勢互補。隨著技術的發(fā)展，防火墻產品還在不斷完善、發(fā)展。目前出現(xiàn)的新技術類型主要有以下幾種：狀態(tài)監(jiān)視技術、安全操作系統(tǒng)、自適應代理技術、實時侵入檢測系統(tǒng)等。混合使用數據包過濾技術、代理服務技術和一些新技術是未來防火墻的趨勢。 防火墻的部署防火墻是網絡安全的關口設備，只有在關鍵網絡流量通過防火墻的時候，防火墻才能對此實行檢查，防護功能。〔1〕防火墻的位置一般是內網與外網的接合處，用來阻止來自外部網絡的入侵?！?〕如果內部網絡規(guī)模較大，并且設置虛擬局域網（VLAN），則應該在各個VLAN之間設置防火墻。〔3〕通過公網連接的總部與各分支機構之間應該設置防火墻?！?〕主干交換機至服務器區(qū)域工作組交換機的骨干鏈路上?！?〕遠程撥號服務器與骨干交換機或路由器之間?？傊诰W絡拓撲上，防火墻應當處在網絡的出口與不同安全等級區(qū)域的結合處。安裝防火墻的原則是：只要有惡意侵入的可能，無論是內部網還是外部網的連接處都應安裝防火墻。防火墻技術是指網絡之間通過預定義的安全策略，對內外網通信強制實施訪問控制的安全應用措施。它對兩個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監(jiān)視網絡運行狀態(tài)。由于它簡單實用且透明度高，可以在不修改原有網絡應用系統(tǒng)的情況下，達到一定的安全要求，所以被廣泛使用。據預測近5年世界防火墻需求的年增長率將達到174%。目前，市場上防火墻產品很多，一些廠商還把防火墻技術并入其硬件產品中，即在其硬件產品中采取功能更加先進的安全防范機制?？梢灶A見防火墻技術作為一種簡單實用的網絡信息安全技術將得到進一步發(fā)展。然而，防火墻也并非人們想象的那樣不可滲透。在過去的統(tǒng)計中曾遭受過黑客入侵的網絡用戶有三分之一是有防火墻保護的，也就是說要保證網絡信息的安全還必須有其他一系列措施，例如對數據進行加密處理。需要說明的是防火墻只能抵御來自外部網絡的侵擾，而對企業(yè)內部網絡的安全卻無能為力。要保證企業(yè)內計算機網絡安全與防范部網的安全，還需通過對內部網絡的有效控制和管理來實現(xiàn)。 數據加密技術數據加密技術就是對信息進行重新編碼，從而隱藏信息內容，使非法用戶無法獲取信息、的真實內容的一種技術手段。數據加密技術是為提高信息系統(tǒng)及數據的安全性和保密性，防止秘密數據被外部破析所采用的主要手段之一。數據加密技術按作用不同可分為數據存儲、數據傳輸、數據完整性的鑒別以及密匙管理技術4種。數據存儲加密技術是以防止在存儲環(huán)節(jié)上的數據失密為目的，可分為密文存儲和存取控制兩種。數據傳輸加密技術的目的是對傳輸中的數據流加密，常用的有線路加密和端口加密兩種方法。數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證，達到保密的要求，系統(tǒng)通過對比驗證對象輸入的特征值是否符合預先設定的參數，實現(xiàn)對數據的安全保護。數據加密在許多場合集中表現(xiàn)為密匙的應用，密匙管理技術事實上是為了數據使用方便。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。數據加密技術主要是通過對網絡數據的加密來保障網絡的安全可靠性，能夠有效地防止機密信息的泄漏。另外，它也廣泛地被應用于信息鑒別、數字簽名等技術中，用來防止電子欺騙，這對信息處理系統(tǒng)的安全起到極其重要的作用。 系統(tǒng)容災技術一個完整的網絡安全體系，只有防范和檢測措施是不夠的，還必須具有災難容忍和系統(tǒng)恢復能力。因為任何一種網絡安全設施都不可能做到萬無一失，一旦發(fā)生漏防漏檢事件，其后果將是災難性的。此外，天災人禍、不可抗力等所導致的事故也會對信息系統(tǒng)造成毀滅性的破壞。這就要求即使發(fā)生系統(tǒng)災難，也能快速地恢復系統(tǒng)和數據，才能完整地保護網絡信息系統(tǒng)的安全?，F(xiàn)階段主要有基于數據備份和基于系統(tǒng)容錯的系統(tǒng)容災技術。數據備份是數據保護的最后屏障，不允許有任何閃失。但離線介質不能保證安全。數據容災通過IP容災技術來保證數據的安全。數據容災使用兩個存儲器，在兩者之間建立復制關系，一個放在本地，另一個放在異地。本地存儲器供本地備份系統(tǒng)使用，異地容災備份存儲器實時復制本地備份存儲器的關鍵數據。二者通過IP相連，構成完整的數據容災系統(tǒng)，也能提供數據庫容災功能。集群技術是一種系統(tǒng)級的系統(tǒng)容錯技術，通過對系統(tǒng)的整體冗余和容錯來解決系統(tǒng)任何部件失效而引起的系統(tǒng)死機和不可用問題。集群系統(tǒng)可以采用雙機熱備份、本地集群網計算機網絡安全與防范絡和異地集群網絡等多種形式實現(xiàn)，分別提供不同的系統(tǒng)可用性和容災性。其中異地集群網絡的容災性是最好的。存儲、備份和容災技術的充分結合，構成的數據存儲系統(tǒng)，是數據技術發(fā)展的重要階段。隨著存儲網絡化時代的發(fā)展，傳統(tǒng)的功能單一的存儲器，將越來越讓位于一體化的多功能網絡存儲器。 入侵檢測技術入侵檢測技術是從各種各樣的系統(tǒng)和網絡資源中采集信息（系統(tǒng)運行狀態(tài)、網絡流經的信息等），并對這些信息進行分析和判斷。通過檢測網絡系統(tǒng)中發(fā)生的攻擊行為或異常行為，入侵檢測系統(tǒng)可以及時發(fā)現(xiàn)攻擊或異常行為并進行阻斷、記錄、報警等響應，從而將攻擊行為帶來的破壞和影響降至最低。同時，入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別異常行為和攻擊行為（通過異常檢測和模式匹配等技術）、對攻擊行為或異常行為進行響應、審計和跟蹤等。典型的IDS系統(tǒng)模型包括4個功能部件： 〔1〕事件產生器，提供事件記錄流的信息源?！?〕事件分析器，這是發(fā)現(xiàn)入侵跡象的分析引擎?！?〕響應單元，這是基于分析引擎的分析結果產生反應的響應部件?！?〕事件數據庫，這是存放各種中間和最終數據的地方的統(tǒng)稱，它可以是復雜的數據庫，也可以是簡單的文本文件。 入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)根據數據來源不同，可分為基于網絡的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)。[4]網絡型入侵檢測系統(tǒng)的實現(xiàn)方式是將某臺主機的網卡設置成混雜模式，監(jiān)聽本網段內的所有數據包并進行判斷或直接在路由設備上放置入侵檢測模塊。一般來說，網絡型入侵檢測系統(tǒng)擔負著保護整個網絡的任務。主機型入侵檢測系統(tǒng)是以系統(tǒng)日志、應用程序日志等作為數據源，當然也可以通過其它手段（如檢測系統(tǒng)調用）從所有的主機上收集信息進行分析。入侵檢測系統(tǒng)根據檢測的方法不同可分為兩大類：異常和誤用。異常入侵檢測根據用戶的異常行為或對資源的異常存放來判斷是否發(fā)生了入侵事件。誤用入侵檢測通過檢查對照已有的攻擊特征、定義攻擊模式、比較用戶的活動來了解計算機網絡安全與防范入侵。例如，著名的Internet蠕蟲事件是利用finger上的守護進程，允許用戶遠程讀取文件系統(tǒng)，因而存在可以查看文件內容的漏洞和(Linux上的守護進程，利用其漏洞可取得root權限)的漏洞進行攻擊。對這種攻擊可以使用這種檢測方法。 目前入侵