【正文】 同時(shí)，在論文設(shè)計(jì)過程中還有同班的同學(xué)也給了我不少幫助，這里一并表示感謝。他認(rèn)真負(fù)責(zé)的工作態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和深厚的理論水平都使我收益匪淺。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分，甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。例如 ,它可以過濾掉 FTP 連接中的 PUT 命令 ,而且通過代理應(yīng)用 ,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。 代理型防火墻的優(yōu)點(diǎn)是安全性較高 ,可以針對應(yīng)用層進(jìn)行偵測和掃描 ,對付基于應(yīng)用層的侵入和病毒都十分有效。從客戶機(jī)來看 ,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器 。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù) ,只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行 判斷 ,無法識別基于應(yīng)用層的惡意侵入 ,如惡意的Java小程序以及電子郵件中附帶的病毒。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些 “包 ”是否來自可信任的安全站點(diǎn) ,一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包 ,防火墻便會將這些數(shù)據(jù)拒之門外。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技 術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開展研究，各部分相互協(xié)同形成有機(jī)整體。通常，這種綁定在已頒發(fā)證書的整個(gè)生命周期里是有效的。 RA不僅要支持面對面的登記，也必須支持遠(yuǎn)程登記。 CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。 RSA算法的描述如下： 公開密鑰： n=pq(p、 q分別為兩個(gè)互異的大素?cái)?shù)， p、 q必須保密 ) e與（ p1） (q1)互素 17 私有密鑰： d=e1 {mod(p1)(q1)} 加密： c=me(mod n),其中 m為明文， c為密文。非對稱加密體系一般是建立在 某些已知的數(shù)學(xué)難題之上，是計(jì)算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。 非對稱加密 /公開密鑰加密 在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這種加密方法可簡化加密處理過程，信息交換雙方都不必彼此研究和交換專用的加密算法。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間 ,在安全水平要求不高的情況下 ,可以只選購基本系統(tǒng) ,而隨著要求的提高 ,用戶仍然有進(jìn)一步增加選件的余地。一般來說 ,防火墻的許多配置需要系統(tǒng)管理員手工修改 ,如果系統(tǒng)管理員對防火墻不十分熟悉 ,就有可能在配置過程中遺留大量的安全漏洞。如果像馬其諾防線一樣 ,正面雖然牢不可破 ,但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部 ,網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。以一個(gè)非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例 ,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為 10 萬元 ,則該部門所配備防火墻的總成本也不應(yīng)該超過 10萬元。 作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障 ,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一 。 自從 1986 年美國 Digital 公司在 Inter 上安裝了全球第一個(gè)商用防火墻系統(tǒng)，提出了防火墻概念后，防火墻技術(shù)得到了飛速的發(fā)展。 14 4. 防火墻技術(shù) 防火墻的定義和由來 網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保 護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。 9．在防火墻上運(yùn)行端口映射程序或端口掃描程序。此外，在 Unix 上應(yīng)該將 .rhost 和，因?yàn)椴挥貌驴诹?，這些文件就會提供登錄訪問！ 7．限制在防火墻外與網(wǎng)絡(luò)文件共享。 5．禁止內(nèi)部網(wǎng)通過 Modem連接至 PSTN系統(tǒng)。這是為了確保管理員知道每個(gè)主機(jī)系統(tǒng)在 運(yùn)行什么？誰在使用主機(jī)？哪些人可以訪問主機(jī)？不然，即使黑客侵犯了系統(tǒng)，也很難查明。利用客戶 /服務(wù)器技術(shù)，主控 程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。連通性攻擊指用大量的連接請求沖擊計(jì)算機(jī)，使得 所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請求。在網(wǎng)絡(luò)上成功實(shí)施的攻擊級別以來于擁護(hù)采取的安全措施。局域網(wǎng)中的拓?fù)浣Y(jié)構(gòu)主要有總線型，星型，環(huán)形等，而目前大多數(shù)都采用載波偵聽多路訪問 /沖突檢測（ Carrier Sense Multiple Access with Collision Detection ,CSMA/CD）也就是發(fā)展到現(xiàn)在的 規(guī)范 , 11 利用這一方法建成的網(wǎng)絡(luò) ,我們稱之為以太網(wǎng) ,在以太網(wǎng)的通信方式中 ,每一個(gè)工作站都可以讀取電纜上傳輸?shù)乃袛?shù) 據(jù) ,將以太網(wǎng)卡 (支持 規(guī)范的網(wǎng)卡 )設(shè)置為混雜模式 ,網(wǎng)卡便會將電纜上傳輸?shù)乃械臄?shù)據(jù)讀入緩沖區(qū) ,以供系統(tǒng)和程序調(diào)用 .但是入侵者還是可能通過割開網(wǎng)線 ,非法接入等手段來偵聽網(wǎng)絡(luò) ,截獲數(shù)據(jù) ,根據(jù)線路中的數(shù)據(jù)流量找到網(wǎng)絡(luò)的信息中心 ,因此布線要杜絕經(jīng)過不可靠的區(qū)域 ,以防止非法接入 ,在各網(wǎng)段的控制器上設(shè)置網(wǎng)段網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段 ,實(shí)際上也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施 .其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離 ,從而防上可能的非法偵聽 . 以交換式集線器代替共享式集線器 對局 域網(wǎng)的中心計(jì)算機(jī)進(jìn)行分段后 ,以太網(wǎng)的偵聽的危險(xiǎn)仍然存在 .這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī) ,而使用最廣泛的分支集線器通常是共享式集線器 .這樣 ,當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí) ,兩臺機(jī)器之間的數(shù)據(jù)包 (稱為單播包 Nicest Packet)還是會被同一臺集線器上的其他用戶所偵聽 .因此應(yīng)該以交換式集線器代替共享式集線器 ,使單播包公在兩個(gè)節(jié)點(diǎn)之間傳送 ,從而防止非法偵聽。由于此時(shí)主機(jī)的 IP 不存在或當(dāng)時(shí)沒有被使用所以無法向主機(jī)發(fā)送 RST，因此，造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時(shí)。另外，還可以讓系統(tǒng)自動(dòng)檢查是否過載或者重新啟動(dòng)系統(tǒng)。 防止過載攻擊的方法有：限制單個(gè)用戶所擁有的最大進(jìn)程數(shù)；殺死一些耗時(shí)的進(jìn)程。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過計(jì)算機(jī)網(wǎng)絡(luò)對某一目標(biāo)的報(bào)復(fù)活動(dòng)中。此類攻擊對計(jì)算機(jī)的危害極大，通過特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫未經(jīng)授權(quán)的文件，甚至可 以獲得對被攻擊的計(jì)算機(jī)的控制權(quán)。 9 常見的網(wǎng)絡(luò)攻擊及防范對策 特洛伊木馬 特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。合格的防病毒軟件應(yīng)該具備以下條件： ① 、較強(qiáng)的查毒、殺毒能力。認(rèn)證是指驗(yàn)證一個(gè)最終用戶或設(shè)備的身份過程，即認(rèn)證建立信息的發(fā)送者或接收者的身份。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。它是一個(gè)或一組系統(tǒng)，該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可已被外界訪 8 問，外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。出入管理可采用證件識別或安裝 自動(dòng)識別系統(tǒng)，采用磁卡、身份卡等手段，對人員進(jìn)行識別、登記管理。 安全管理的實(shí)現(xiàn) 信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。 ② 任期有限原則 7 一般來講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。 網(wǎng)絡(luò)的安全管理 面對網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密 設(shè)施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理，因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問題。網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信技術(shù)的產(chǎn)物，是應(yīng)社會對信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設(shè)自己的信息高速公路。例如從普通使用者的角度來說，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡 改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。為了確保信息的安全與暢通，研究計(jì)算機(jī)網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫。對于軍用 的自動(dòng)化指揮網(wǎng)絡(luò)、 C3I系統(tǒng)、銀行和政府等傳輸敏感數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。這種威脅將不斷給社會帶來了巨大的損失。 信息安全是國家發(fā)展所面臨的一個(gè)重要問題。我國在構(gòu)建信息防衛(wèi)系統(tǒng)時(shí)，應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品，我國要想真正解決網(wǎng)絡(luò)安全問題，最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè)，帶動(dòng)我國網(wǎng)絡(luò)安全技術(shù)的整體提高。 2 致 謝 .................................................................... 223 4 計(jì)算機(jī)網(wǎng)絡(luò)安全管理 姓名： 學(xué)號：