【正文】 絡(luò)必須有足夠強(qiáng)的安全措施。無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。一、網(wǎng)絡(luò)安全的理論基礎(chǔ)國(guó)際標(biāo)準(zhǔn)化組織（ISO）曾建議計(jì)算機(jī)安全的定義為：“計(jì)算機(jī)系統(tǒng)要保護(hù)其硬件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞?！睘榱藥椭?jì)算機(jī)用戶區(qū)分和解決計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，美國(guó)國(guó)防部公布了“桔皮書(shū)”（orange?book，正式名稱為“可信計(jì)算機(jī)系統(tǒng)標(biāo)準(zhǔn)評(píng)估準(zhǔn)則”?），對(duì)多用戶計(jì)算機(jī)系統(tǒng)安全級(jí)別的劃分進(jìn)行了規(guī)定。桔皮書(shū)將計(jì)算機(jī)安全由低到高分為四類七級(jí)：DCCBBBA1。其中D1級(jí)是不具備最低安全限度的等級(jí)，C1和C2級(jí)是具備最低安全限度的等級(jí)，B1和B2級(jí)是具有中等安全保護(hù)能力的等級(jí)，B3和A1屬于最高安全等級(jí)。D1級(jí)：計(jì)算機(jī)安全的最低一級(jí)，不要求用戶進(jìn)行用戶登錄和密碼保護(hù)，任何人都可以使用，整個(gè)系統(tǒng)是不可信任的，硬件軟件都易被侵襲。C1級(jí)：自主安全保護(hù)級(jí)，要求硬件有一定的安全級(jí)（如計(jì)算機(jī)帶鎖），用戶必須通過(guò)登錄認(rèn)證方可使用系統(tǒng)，并建立了訪問(wèn)許可權(quán)限機(jī)制。C2級(jí)：受控存取保護(hù)級(jí)，比C1級(jí)增加了幾個(gè)特性：引進(jìn)了受控訪問(wèn)環(huán)境，進(jìn)一步限制了用戶執(zhí)行某些系統(tǒng)指令；授權(quán)分級(jí)使系統(tǒng)管理員給用戶分組，授予他們?cè)L問(wèn)某些程序和分級(jí)目錄的權(quán)限；采用系統(tǒng)審計(jì)，跟蹤記錄所有安全事件及系統(tǒng)管理員工作。B1級(jí)：標(biāo)記安全保護(hù)級(jí)，對(duì)網(wǎng)絡(luò)上每個(gè)對(duì)象都予實(shí)施保護(hù)；支持多級(jí)安全，對(duì)網(wǎng)絡(luò)、應(yīng)用程序工作站實(shí)施不同的安全策略；對(duì)象必須在訪問(wèn)控制之下，不允許擁有者自己改變所屬資源的權(quán)限。B2級(jí)：結(jié)構(gòu)化保護(hù)級(jí)，對(duì)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)中所有對(duì)象都加以定義，給一個(gè)標(biāo)簽；為工作站、終端等設(shè)備分配不同的安全級(jí)別；按最小特權(quán)原則取消權(quán)力無(wú)限大的特權(quán)用戶。B3級(jí)：安全域級(jí)，要求用戶工作站或終端必須通過(guò)信任的途徑連接到網(wǎng)絡(luò)系統(tǒng)內(nèi)部的主機(jī)上；采用硬件來(lái)保護(hù)系統(tǒng)的數(shù)據(jù)存儲(chǔ)區(qū)；根據(jù)最小特權(quán)原則，增加了系統(tǒng)安全員，將系統(tǒng)管理員、系統(tǒng)操作員和系統(tǒng)安全員的職責(zé)分離，將人為因素對(duì)計(jì)算機(jī)安全的威脅減至最小。A1級(jí)：驗(yàn)證設(shè)計(jì)級(jí)，是計(jì)算機(jī)安全級(jí)中最高一級(jí)，本級(jí)包括了以上各級(jí)別的所有措施，并附加了一個(gè)安全系統(tǒng)的受監(jiān)視設(shè)計(jì)；合格的個(gè)體必須經(jīng)過(guò)分析并通過(guò)這一設(shè)計(jì)；所有構(gòu)成系統(tǒng)的部件的來(lái)源都必須有安全保證；還規(guī)定了將安全計(jì)算機(jī)系統(tǒng)運(yùn)送到現(xiàn)場(chǎng)安裝所必須遵守的程序。在網(wǎng)絡(luò)的具體設(shè)計(jì)過(guò)程中，應(yīng)根據(jù)網(wǎng)絡(luò)總體規(guī)劃中提出的各項(xiàng)技術(shù)規(guī)范、設(shè)備類型、性能要求以及經(jīng)費(fèi)等，綜合考慮來(lái)確定一個(gè)比較合理、性能較高的網(wǎng)絡(luò)安全級(jí)別，從而實(shí)現(xiàn)網(wǎng)絡(luò)的安全性和可靠性。二、?網(wǎng)絡(luò)安全應(yīng)具備的功能為了能更好地適應(yīng)信息技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)必須具備以下功能：（1）訪問(wèn)控制：通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的訪問(wèn)控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。（2）檢查安全漏洞：通過(guò)對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無(wú)效。（3）攻擊監(jiān)控：通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取響應(yīng)的行動(dòng)（如斷開(kāi)網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等）。（4）加密通訊：主動(dòng)地加密通訊，可使攻擊者不能了解、修改敏感信息。（5）認(rèn)證：良好的認(rèn)證體系可防止攻擊者假冒合法用戶。（6）備份和恢復(fù)：良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。（7）多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。（8）?設(shè)立安全監(jiān)控中心：為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護(hù)及緊急情況服務(wù)。三、?網(wǎng)絡(luò)系統(tǒng)安全綜合解決措施要想實(shí)現(xiàn)網(wǎng)絡(luò)安全功能，應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全方位防范，從而制定出比較合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。下面就網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題，提出一些防范措施。物理安全：物理安全可以分為兩個(gè)方面：一是人為對(duì)網(wǎng)絡(luò)的損害；二是網(wǎng)絡(luò)對(duì)使用者的危害。最常見(jiàn)的是施工人員由于對(duì)地下電纜不了解，從而造成電纜的破壞，這種情況可通過(guò)立標(biāo)志牌加以防范；未采用結(jié)構(gòu)化布線的網(wǎng)絡(luò)經(jīng)常會(huì)出現(xiàn)使用者對(duì)電纜的損壞，這就需要盡量采用結(jié)構(gòu)化布線來(lái)安裝網(wǎng)絡(luò)；人為或自然災(zāi)害的影響，需在規(guī)劃設(shè)計(jì)時(shí)加以考慮。網(wǎng)絡(luò)對(duì)使用者的危害主要是電纜的電擊、高頻信號(hào)的幅射等，這需要對(duì)網(wǎng)絡(luò)的絕緣、接地和屏蔽工作做好。實(shí)施方案可以從以下幾個(gè)方面考慮。 PC終端機(jī)對(duì)于終端機(jī)來(lái)說(shuō)，我們應(yīng)該把一切的系統(tǒng)漏洞全部打上補(bǔ)丁。像360安全衛(wèi)士是一款不錯(cuò)的實(shí)用、功能強(qiáng)大的安全軟件。里面有“修復(fù)系統(tǒng)漏洞”選項(xiàng)，我們只要點(diǎn)擊掃描，把掃描到的系統(tǒng)漏洞，點(diǎn)擊下載安裝，并且都是自動(dòng)安裝，安裝完就可以了。 安裝殺毒軟件比如說(shuō)中國(guó)著名的瑞星殺毒軟件，從瑞星官方網(wǎng)站下載，下載完，安裝簡(jiǎn)體版就可以了。安裝完之后，就進(jìn)行全盤(pán)查毒。做到客戶機(jī)沒(méi)有病毒。讓電腦處于無(wú)毒環(huán)境中。也可以在【開(kāi)始運(yùn)行】中輸入【sigverif】命令，檢查系統(tǒng)的文件有沒(méi)有簽名，沒(méi)有簽名的文件就有可能是被病毒感染了?？梢陨暇W(wǎng)查詢之后，進(jìn)行刪除。 防火墻打好系統(tǒng)漏洞補(bǔ)丁，安裝好殺毒軟件之后，就是安裝防火墻像瑞星防火墻，天網(wǎng)防火墻以及風(fēng)云防火墻等。風(fēng)云防火墻是一款功能強(qiáng)大的防火墻軟件，它不僅僅能防病毒，還能防現(xiàn)在很是厲害的ARP病毒。 用戶設(shè)置把Administrator超級(jí)用戶設(shè)置密碼，對(duì)不同的用戶進(jìn)行用戶權(quán)限設(shè)置。 網(wǎng)絡(luò)安全分析網(wǎng)絡(luò)安全分析主要從網(wǎng)絡(luò)層次考慮，將網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)成一個(gè)支持各級(jí)別用戶或用戶群的安全網(wǎng)絡(luò)，該網(wǎng)在保證系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全的同時(shí)，還實(shí)現(xiàn)與Internet或國(guó)內(nèi)其它網(wǎng)絡(luò)的安全互連。本方案在保證網(wǎng)絡(luò)安全可以滿足各種用戶的需求，比如：可以滿足個(gè)人的通話保密性，也可以滿足企業(yè)客戶的計(jì)算機(jī)系統(tǒng)的安全保障，數(shù)據(jù)庫(kù)不被非法訪問(wèn)和破壞，系統(tǒng)不被病毒侵犯，同時(shí)也可以防止諸如反動(dòng)淫穢等有害信息在網(wǎng)上傳播等。 防火墻技術(shù)防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制尺度,其主要目標(biāo)就是通過(guò)控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過(guò)這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物理實(shí)現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備――路由器、計(jì)算機(jī)或其他特制地硬件設(shè)備。防火墻可以是獨(dú)立地系統(tǒng)，也可以在一個(gè)進(jìn)行網(wǎng)絡(luò)互連地路由器上實(shí)現(xiàn)防火墻。用防火墻來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：（1）屏蔽路由器：又稱包過(guò)濾防火墻。（2）雙穴主機(jī)：雙穴主機(jī)是包過(guò)濾網(wǎng)關(guān)的一種替代。（3）主機(jī)過(guò)濾結(jié)構(gòu)：這種結(jié)構(gòu)實(shí)際上是包過(guò)濾和代理的結(jié)合。（4）屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的變形。 VPN技術(shù) VPN技術(shù)主要提供在公網(wǎng)上的安全的雙向通訊，采用透明的加密方案以保證數(shù)據(jù)的完整性和保密性。VPN技術(shù)的工作原理：VPN系統(tǒng)可使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上實(shí)現(xiàn)安全通信，它采用復(fù)雜的算法來(lái)加密傳輸?shù)男畔?，使得敏感的?shù)據(jù)不會(huì)被竊聽(tīng)。其處理過(guò)程大體是這樣：?①?要保護(hù)的主機(jī)發(fā)送明文信息到連接公共網(wǎng)絡(luò)的VPN設(shè)備；?②?VPN設(shè)備根據(jù)網(wǎng)管設(shè)置的規(guī)則，確定是否需要對(duì)數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過(guò)。?③?對(duì)需要加密的數(shù)據(jù)，VPN設(shè)備對(duì)整個(gè)數(shù)據(jù)包進(jìn)行加密和附上數(shù)字簽名。?④?VPN設(shè)備加上新的數(shù)據(jù)報(bào)頭，其中包括目的地VPN設(shè)備需要的安全信息和一些初始化參數(shù)。?⑤?VPN設(shè)備對(duì)加密后的數(shù)據(jù)、鑒別包以及源IP地址、目標(biāo)VPN設(shè)備的IP地址進(jìn)行重新封裝，重新封裝后的數(shù)據(jù)包通過(guò)虛擬通道在公網(wǎng)上傳輸。?⑥?當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)VPN設(shè)備時(shí)，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對(duì)無(wú)誤后，數(shù)據(jù)包被解密。? 網(wǎng)絡(luò)加密技術(shù)（Ipsec）IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層，IP作為網(wǎng)絡(luò)層協(xié)議，其安全機(jī)制可對(duì)其上層的各種應(yīng)用服務(wù)提供透明的覆蓋式安全保護(hù)。因此，IP安全是整個(gè)TCP/IP安全的基礎(chǔ)，是網(wǎng)絡(luò)安全的核心。IPSec提供的安全功能或服務(wù)主要包括：（1）訪問(wèn)控制；（2）無(wú)連接完整性；（3）數(shù)據(jù)起源認(rèn)證；（4）抗重放攻擊；（5）機(jī)密性；（6）有限的數(shù)據(jù)流機(jī)密性。使用PKI（公開(kāi)密鑰體系）進(jìn)行認(rèn)證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對(duì)稱加密、對(duì)稱加密、數(shù)字簽名等技術(shù)，很好地將安全性和高效性結(jié)合起來(lái)。這種認(rèn)證方法目前應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問(wèn)、客戶認(rèn)證、防火墻認(rèn)證等領(lǐng)域。該種認(rèn)證方法安全程度很高，但是涉及到比較繁重的證書(shū)管理任務(wù)。 身份認(rèn)證任何良好的安全系統(tǒng)必須包括加密！這已成為既定的事實(shí)。網(wǎng)絡(luò)上的加密可以分為三層：第一層為數(shù)據(jù)鏈路層加密，即將數(shù)據(jù)在線路傳輸前后分別對(duì)其進(jìn)行加密和解密，這樣可以減少在傳輸線路上被竊取的危險(xiǎn)；第二層是傳輸層的加密，使數(shù)據(jù)在網(wǎng)絡(luò)傳輸期間保持加密狀態(tài)；第三層是應(yīng)用層上的加密，讓網(wǎng)絡(luò)應(yīng)用程序?qū)?shù)據(jù)進(jìn)行加密和解密。當(dāng)然可以對(duì)這三層進(jìn)行綜合加密，以增強(qiáng)信息的安全性和可靠性。數(shù)字簽名是數(shù)據(jù)的接收者用來(lái)證實(shí)數(shù)據(jù)的發(fā)送者確實(shí)無(wú)誤的一種方法，它主要通過(guò)加密算法和證實(shí)協(xié)議而實(shí)現(xiàn)?Name/Password認(rèn)證該種認(rèn)證方式是最常用的一種認(rèn)證方式，用于操作系統(tǒng)登錄、telnet（遠(yuǎn)程登錄）、rlogin（遠(yuǎn)程登錄）等，但此種認(rèn)證方式過(guò)程不加密，即password容易被監(jiān)聽(tīng)和解密。Radius（遠(yuǎn)程撥號(hào)認(rèn)證協(xié)議）、OSPF（開(kāi)放路由協(xié)議）、SNMP?Security?Protocol等均使用共享的Security?Key（密鑰），加上摘要算法（MD5）進(jìn)行認(rèn)證，但摘要算法是一個(gè)不可逆的過(guò)程，因此，在認(rèn)證過(guò)程中，由摘要信息不能計(jì)算出共享的security?key，所以敏感信息不能在網(wǎng)絡(luò)上傳輸。市場(chǎng)上主要采用的摘要算法主要有MD5和SHA1。四、安全管理隊(duì)伍的建設(shè)。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，絕對(duì)的安全是不存在的，制定健全的安全管理體制是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證，只有通過(guò)網(wǎng)絡(luò)管理人員與使用人員的共同努力，運(yùn)用一切可以使用的工具和技術(shù)，盡一切可能去控制、減小一切非法的行為，盡可能地把不安全的因素降到最低。同時(shí)，要不斷地加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度，大力加強(qiáng)安全技術(shù)建設(shè)，強(qiáng)化使用人員和管理人員的安全防范意識(shí)。網(wǎng)絡(luò)內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略，為了更好地進(jìn)行安全管理工作，應(yīng)該對(duì)本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對(duì)于盜用IP資源的用戶必須依據(jù)管理制度嚴(yán)肅處理。只有共同努力，才能使計(jì)算機(jī)網(wǎng)絡(luò)的安全可靠得到保障，從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。總之，網(wǎng)絡(luò)安全是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問(wèn)題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問(wèn)題，而不是萬(wàn)能的。為此建立有中國(guó)特色的網(wǎng)絡(luò)安全體系，需要國(guó)家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開(kāi)發(fā)。安全與反安全就像矛盾的兩個(gè)方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來(lái)也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。結(jié)論綜上所述，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)傳輸?shù)陌踩珕?wèn)題，我們必須要做到以下幾點(diǎn)。第一，應(yīng)嚴(yán)格限制上網(wǎng)用戶所訪問(wèn)的系統(tǒng)信息和資源，這一功能可通過(guò)在訪問(wèn)服務(wù)器上設(shè)置NetScreen防火墻來(lái)實(shí)現(xiàn)。第二，應(yīng)加強(qiáng)對(duì)上網(wǎng)用戶的身份認(rèn)證，使用RADIUS等專用身份驗(yàn)證服務(wù)器。一方面，可以實(shí)現(xiàn)對(duì)上網(wǎng)用戶帳號(hào)的統(tǒng)一管理；另一方面，在身份驗(yàn)證過(guò)程中采用加密的手段，避免用戶口令泄露的可能性。第三，在數(shù)據(jù)傳輸過(guò)程中采用加密技術(shù)，防止數(shù)據(jù)被非法竊取。一種方法是使用PGP?for?Business?Security對(duì)數(shù)據(jù)加密。另一種方法是采用NetScreen防火墻所提供的VPN技術(shù)。VPN在提供網(wǎng)間數(shù)據(jù)加密的同時(shí)，也提供了針對(duì)單機(jī)用戶的加密客戶端軟件，即采用軟件加密的技術(shù)來(lái)保證數(shù)據(jù)傳輸?shù)陌踩浴＊ルS著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問(wèn)題，以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。本論文從多方面描述了網(wǎng)絡(luò)安全的解決方案，目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻，認(rèn)證，加密技術(shù)等都是當(dāng)今常用的方法，本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問(wèn)題的解決，可以使我們對(duì)網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。參考文獻(xiàn)：[1]??,?1998.[2]??杜飛龍.?,?1997.[3]??,?1995.[4]??,?.[5]??,?2000.[6]??,?1996.[7]??,?1993.[8]??計(jì)算機(jī)學(xué)報(bào).?20072010.[9]??網(wǎng)絡(luò)報(bào).?20082009.[10]?電腦報(bào).?20072010.??