【正文】 統(tǒng)的管理員權限。（3）按照漏洞可能對系統(tǒng)造成的直接威脅劃分按照漏洞可能對系統(tǒng)造成的直接威脅可劃分如下：攻擊者無須通過一個賬號登錄到本地而直接獲得遠程系統(tǒng)的管理員權限，通常通過攻擊以ROOT身份執(zhí)行的有缺陷的系統(tǒng)守護進程來完成。 一個系統(tǒng)如果本身設計得很完善，安全性也很高，但管理人員安全意識淡薄，同時會給系統(tǒng)留下漏洞。目前，國際互聯(lián)網的通信采用的是具有開放性的TCP/IP協(xié)議。這種類型的漏洞是編程人員在編寫程序時由于技術上的疏忽造成的漏洞。這種類型的漏洞最典型的是微軟的是微軟的WINDOWS 2000用戶登錄的中文輸入法漏洞。（2）按照漏洞的形成原因劃分按照漏洞的形成原因，漏洞大體上可以分為程序邏輯結構漏洞、程序設計錯誤漏洞、開放式協(xié)議造成的漏洞和人為因素造成的漏洞。l ODAY：還沒有公開的漏洞，在私下交易中的。l 剛發(fā)現的漏洞：廠商剛發(fā)補丁或修補方法，知道 的人還不多。：l 已發(fā)現很久的漏洞：廠商已經發(fā)布補丁或修補方法，很多人都已經知道。l 被動觸發(fā)漏洞，必須要計算機的操作人員配合才能進行攻擊 所利用的漏洞。l 能把指定的內容寫入指定的地方（這個地方包括文件、內存、數據庫等）。l 專用軟件的漏洞 ，如ORACLE漏洞、APACHE漏洞等。（1）從不同角度劃分對一個特定程序的安全漏洞，要以從多方面進行分類?！?67。實際上，漏洞可以是任何東西，許多用戶非常熟悉的特殊的硬件和軟件存在漏洞，如IBM兼容機的CMOS口令在COMS的電池供電不足、不能供電或被移走情況下會丟失CMOS信息也是漏洞；操作系統(tǒng)、瀏覽器、TCP/IP、免費電子郵箱等都存在漏洞。 漏洞是存在于系統(tǒng)中的一個弱點或者缺點。Decryption）、密鑰管理技術（ Key Management）和使用者與設備身份認證技術（Authentication）。在公共通信網絡上構建VPN有兩種主流的機制：路由過濾技術和隧道技術。 VPN是目前解決信息安全問題的一個最新、最成功的技術之一。訪問控制是保護服務器的基本機制，必須在服務器上限制哪些用戶可以訪問服務或守護進程。每當用戶對系統(tǒng)進行訪問時，參考監(jiān)視器就會查看授權數據庫，以確定準備進行操作的用戶是否確實得到了可進行此項操作的許可。　每個系統(tǒng)都要確保訪問用戶是有訪問權限的，這樣才允許他們訪問，這種機制叫做訪問控制。安全掃描器不能實時監(jiān)視網絡上的入侵，但是能夠測試和評價系統(tǒng)的安全性，并及時發(fā)現安全漏洞?！　?6) 更新周期。因為網絡內服務器及其它設備對相同協(xié)議的實現存在差別，所以預制的掃描方法肯定不能滿足客戶的需求。　　(4) 是否支持可定制的攻擊方法。通過GUI的圖形界面，可迭擇一步或某些區(qū)域的設備。在網絡內進行安全掃描非常耗時。通常該類掃描器限制使用范圍(IP地址或路由器跳數)。通常與相應的服務器操作系統(tǒng)緊密相關。　　安全掃描工具通常也分為基于服務器和基于網絡的掃描器?！　“踩珤呙韫ぞ咴从贖acker在入侵網絡系統(tǒng)時采用的工具?！　【W絡安全技術中，另一類重要技術為安全掃描技術。入侵檢測系統(tǒng)（IDS Instusion Detection System）是進行入侵檢測的軟件與硬件的組合，其主要功能是檢測，除此之外還有檢測部分阻止不了的入侵；檢測入侵的前兆，從而加以處理，如阻止，封閉等；入侵事件的歸檔，從而提供法律依據；網絡遭受威脅程度的評估和入侵事件的恢復等功能。隨著時代的發(fā)展，入侵檢測技術將朝著三個方向發(fā)展：分布式入侵檢測。167。可喜的是，隨著殺毒軟件技術的不斷發(fā)展，現在的主流殺毒軟件同時也能預防木馬及其他一些黑客程序的入侵。但大家都知道殺毒軟件的主要功能就是殺毒，功能十分有限，不能完全滿足安全的需要。167。4．數字簽名數字簽名是一種使用加密認證電子信息的方法，是以電子形式存儲的一種消息，可以在通信網絡中傳輸。2. 報文認證報文認證主要是通信雙方對通信的內容進行驗證，以保證報文在傳送中沒被修改過。常用的認證技術如下:1. 身份認證 當系統(tǒng)的用戶要訪問系統(tǒng)資源時要求確認是否是合法的用戶，這就是身份認證。167。大多數防火墻都采用多種功能相結合的形式來保護自己的網絡不受惡意傳輸的攻擊，其中最流行的技術有靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾和代理服務器技術，它們的安全級別依次升高，但具體實踐中既要考慮體系的性價比，又要考慮安全兼顧網絡連接能力。 167?？傊?，密碼技術是網絡安全最有效地技術之一。在公用密鑰體制中，信息接受者可以把他的 放到INTERNET的任意地方，或者用非密鑰的郵件發(fā)給信息的發(fā)送者，信息的發(fā)送者用他的公鑰加密信息后發(fā)給信息接收者，信息接收者則用他自己的私鑰解密信息。這種加密方法的優(yōu)點是速度很快，很容易在硬件和軟件中實現。就體制而言，目前的加密體制可分為：單密鑰加密體制和公用密鑰體制。為防止信息被竊取，必須對所有傳輸的信息進行加密。加密就是通過一種方式使信息變得混亂，從而使未被授權的人看不懂它。密碼技術是保障網絡安全的最基本、最核心的技術措施。政府不僅應該看見信息安全的發(fā)展是我國高科技產業(yè)的一部分,而且應該看到,發(fā)展安全產業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分,甚至應該看到它對我國未來電子化,信息化的發(fā)展將起到非常重要的作用。 　　信息安全是國家發(fā)展所面臨的一個重要問題。為此建立有中國特色的網絡安全體系,需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。第二,網絡的安全機制與技術要不斷地變化。網絡安全技術指致力于解決諸如如何有效進行介入控制，以及何如保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網絡結構安全分析技術，系統(tǒng)安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略。由于它是針對特定應用的，缺乏通用性，且需修改應用程序。但這種技術對應用層不透明，需要證書授權中心，它本身不提供訪問控制。在傳輸層可以實現進程的安全通信，如現在流行的安全套接字層SSL技術，是在兩個通信結點間建立安全的TCP連接。這種技術對應用透明，提供主機的安全服務，適用于在公共通信設施上建立虛擬的專用網。在互聯(lián)網和Intranet環(huán)境中，地域分布很廣，物理層的安全難以保證，鏈路層的加密技術也不完全適用。在物理層要保證通信線路的可靠，不易被竊聽。因此每個層次提供不同的安全機制和安全服務，為各系統(tǒng)單元提供不同的安全特性。從安全角度來看，各層能提供一定的安全手段，針對不同層次的安全措施是不同的。不同的網絡層次之間的功能雖然有一定的交叉，但是基本上是不同的。167。這樣，可以選擇那些可信的網絡節(jié)點，從而確保數據不會暴露在安全攻擊之下。因此對購買該股票感興趣的人就可以密切關注公司與銀行之間的數據流量，以了解是否可以購買。數據交換量的突然改變也可能泄露有用信息。因此公證機制是在兩個或多個實體之間交換數據信息時，用戶保護各個實體安全及糾紛的仲裁。為了免得事后說不清，可以找一個大家都信任的公證機構，各方交換的信息都通過公證機構來中轉。（6）公證機制網絡上魚龍混雜，很難說相信誰不相信誰。用于交換鑒別的技術有：l 口令：由發(fā)闔家方給出自己的口令，以證明自己的身份，接收方則根據地口令來判斷對方的身份。因此，當該簽名得到驗證之后，能夠在任何時候向第三方（即仲裁）提供證明簽名人的證據。不可偽造和不可重用性。l 篡改：接收者私自篡改文件的內容。（4）數字簽名機制數字簽名機制主要解決以下安全問題：l 否認：事后發(fā)送者不承認文件是他發(fā)送的l 偽造：有人自己偽造了一份文件，卻聲稱是某人發(fā)送的。數據單元的完整性是指組成一個單元的一段數據不被破壞和增刪篡改，通常是把包括有數字簽名的文件用hash函數產生一個標記，接收者在收到文件后也用相同的hash函數處理一遍，看產生的標記是否相同就可知道數據是否完整。在路由器上設置過濾，就屬于低層訪問控制。訪問控制分為高層（Application）訪問控制和低層（Nfetwork Protocal）訪問控制。（2）訪問控制機制訪問控制是通過對訪問者的有關信息進行檢查來限制或禁止訪問者使用資源的技術。加密技術也應用于程序的運行，通過對程序的運行實行加密保護，可以防止軟件 被非法復制，防止軟件的安全機制被破壞。在上述提到的安全服務中可以借助以下八大安全機制。安全機制是指設計用于檢測、預防安全攻擊或者恢復系統(tǒng)的機制。由兩種服務組成：一是不提否認發(fā)闔家；二是不得否認接收抗抵賴性對金融電子化系統(tǒng)很重要。（4）數據保密服務為了防止網絡中各個系統(tǒng)之間交換的數據被截獲或非法存取而造成泄密，提供密碼加密保護。l 要求有審計功能，對所有授權記錄可以核查。對訪問控制的要求主要有：l 一致性，也就是對信息資源的控制沒有二義性，各種定義之間不沖突。（2）訪問控制服務用于防止未授權用戶非法使用系統(tǒng)資源，包括用戶身份認證、用戶的權限確認。所以，目前一般采用的是基于對稱密鑰加密或公開密鑰加密的方法，采用高強度的密碼技術來進行身份認證。網絡環(huán)境下的身份認證更加復雜，主要是要考慮到驗證身份的雙方一般都是通過網絡而非直接交互的。(1)鑒別服務身份鑒別椒授權控制的基礎。7 應用層6表示層5會話層4 傳輸層3 網絡層2 數據鏈路層1 物理層安全機制功能層數據完整性認證服務數據保密性訪問控制抵抗賴性公證機制交換鑒別路由控制流量填充數據完整性數據保密數字簽名訪問控制身份鑒別加密機制安全服務圖13 網絡安全體系結構框架1．五大網絡安全服務安全服務是指采用一種或多種安全機制以抵御安全攻擊、提高機構的數據處理系統(tǒng)安全和信息傳輸安全的服務。如果用公式表示：體系結構=部件+關系+約束，那么在網絡體系結構中的部件為：安全服務、安全機制和功能層；關系為：安全服務與安全機制。,風險分析結果和網絡安全目標后,才能按照網絡安全策略的要求,:(1)提供未定義環(huán)境概念上的安全定義的結構（2）在環(huán)境內可以獨立設計安全組件（3）說明安全獨立組件應該如何集成在整體環(huán)境中（4）保證完成后的環(huán)境符合最初建立的虛擬實體167。應用的安全性涉及到信息、數據的安全性。應用系統(tǒng)是不斷發(fā)展且應用類型是不斷增加的。應用的安全涉及方面很多，以目前Internet上應用最為廣泛的Email系統(tǒng)來說，其解決方案有sendmail、Netscape Messaging Server、Software、Com Post、Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。應用的安全性也涉及到信息的安全性，它包括很多方面。應用系統(tǒng)的安全跟具體的應用有關，它涉及面廣。而且，必須加強登錄過程的認證（特別是在到達服務器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄者的操作權限，將其完成的操作限制在最小的范圍內。不同的用戶應從不同的方面對其網絡作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。目前恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論是Microsfot 的Windows NT或者其它任何商用UNIX操作系統(tǒng)，其開發(fā)廠商必然有其BackDoor。167。透過網絡傳播，還會影響到連上Internet/Intrant的其他的網絡；影響所及，還可能涉及法律、金融等安全敏感領域。網絡拓撲結構設計也直接影響到網絡系統(tǒng)的安全性?？傮w來說物理安全的風險主要有，地震、水災、火災等環(huán)境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機多冗余的設計；機房環(huán)境及報警系統(tǒng)、安全意識等，因此要盡量避免網絡的物理安全風險。在企業(yè)網工程建設中，由于網絡系統(tǒng)屬于弱電工程，耐壓值很低。167。167。因此計算機安全問題，應該象每家每戶的防火防盜問題一樣，做到防范于未然。在系統(tǒng)處理能力提高的同時，系統(tǒng)的連接能力也在不斷的提高。167。在飛魚星安全聯(lián)動系統(tǒng)(ASN)中，交換機不僅是數據交換的核心，還具備專業(yè)安全產品的性能。它通過路由器和安全交換機的聯(lián)動協(xié)作，共同構成一套完整的企業(yè)網絡安全體系。因此，飛魚星科技提出基于“防火墻路由器+安全交換機”的安全聯(lián)動系統(tǒng)解決(ASN)。 167。 在傳統(tǒng)的網絡架構中，由防火墻、網關等單一安全產品打造的防線，面對不斷更新的病毒和網絡攻擊，顯得十分脆弱與被動。2003年的蠕蟲病毒大爆發(fā)恐怕令很多人至今都記憶憂新，在這場災難中，全球企業(yè)遭受的損失超過了550億美元。167。”目前我國政府、相關部門和有識之士都把網絡監(jiān)管提到新的高度，上海市負責信息安全工作的部門提出采用非對稱戰(zhàn)略構建上海信息安全防御體系，其核心是在技術處于弱勢的情況下，用強化管理體系來提高網絡安全整體水平。因此，可以說，在信息化社會里，沒有信息安全的保障，國家就沒有安全的屏障。國家科技部部長徐冠華曾在某市信息安全工作會議上說：“信息安全是涉及我國經濟發(fā)展、社會發(fā)展和國家安全的重大問題。網絡環(huán)境的復雜性、多變性，以及信息系統(tǒng)的脆弱性，決定了網絡安全威脅的客觀存在。d）在信息技術尤其是信息安全關鍵產品的研發(fā)方面，提供全局性的具有超前意識的發(fā)展目標和相關產業(yè)政策，保障信息技術產業(yè)和信息安全產品市場有序發(fā)展。c）加快出臺相關法律法規(guī)。b）建立有效的國家信息安全管理體系。a）在國家層面上盡快提出一個具有戰(zhàn)略眼光的“國家網絡安全計劃”。就政府層面來說，解決網絡安全問題應當盡快采納以下幾點建議：由于網絡作案手段新、時間短、不留痕跡等特點，給偵破和審理網上犯罪案件帶來極大困難。同時，政策法規(guī)難以適應網絡發(fā)展的需要，信息立法還存在相當多的空白。不完善的制度滋長了網絡管理者和內部人士自身的違法行為。近年來，國外的一些互聯(lián)網安全產品廠商及時應變，由防病毒軟件供應商轉變?yōu)槠髽I(yè)安全解決方案的提供者，他們相繼在我國推出多種全面的企業(yè)安全解決方案，包括風險評估和漏洞檢測、入侵檢測、防火墻和虛擬專用網、防病毒和內容過濾解決方案，以及企業(yè)管理解決方案等一整套綜合性安全管理解決方案?！　）缺乏綜合性的解決方案：面對復雜的不斷