【正文】 源于安全策略與技術(shù)的多樣化，如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了；第二，網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化；第三，隨著網(wǎng)絡(luò)在社會(huì)各個(gè)方面的延伸，進(jìn)入網(wǎng)絡(luò)的手段也越來(lái)越多，因此，網(wǎng)絡(luò)安全技術(shù)是一個(gè)十分復(fù)雜的系統(tǒng)工程。安全與反安全就像矛盾的兩個(gè)方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來(lái)也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。對(duì)于這個(gè)問(wèn)題，我們還沒(méi)有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來(lái)發(fā)展它。 網(wǎng)絡(luò)安全技術(shù)的研究目的、意義和背景目前計(jì)算機(jī)網(wǎng)絡(luò)面臨著很大的威脅，其構(gòu)成的因素是多方面的。網(wǎng)絡(luò)安全已被信息社會(huì)的各個(gè)領(lǐng)域所重視。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌行為的攻擊，所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問(wèn)題。因此，上述的網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個(gè)無(wú)用、甚至?xí)＜皣?guó)家安全的網(wǎng)絡(luò)。故此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和網(wǎng)絡(luò)的脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。本文就進(jìn)行初步探討計(jì)算機(jī)網(wǎng)絡(luò)安全的管理及其技術(shù)措施。在目前法律法規(guī)尚不完善的情況下，首先是各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視，加強(qiáng)工作人員的責(zé)任心和防范意識(shí)，自覺(jué)執(zhí)行各項(xiàng)安全制度，在此基礎(chǔ)上，再采用先進(jìn)的技術(shù)和產(chǎn)品，構(gòu)造全方位的防御機(jī)制，使系統(tǒng)在理想的狀態(tài)下運(yùn)行。例如從普通使用者的角度來(lái)說(shuō)，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽(tīng)、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信技術(shù)的產(chǎn)物，是應(yīng)社會(huì)對(duì)信息共享和信息傳遞的要求發(fā)展起來(lái)的，各國(guó)都在建設(shè)自己的信息高速公路。我相信在不長(zhǎng)的時(shí)間里，計(jì)算機(jī)網(wǎng)絡(luò)一定會(huì)得到極大的發(fā)展，那時(shí)將全面進(jìn)入信息時(shí)代。 網(wǎng)絡(luò)的安全管理面對(duì)網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密設(shè)施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理，因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問(wèn)題。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠(chéng)可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作以得到保障。②　任期有限原則一般來(lái)講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。③　職責(zé)分離原則除非經(jīng)系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽(tīng)、了解或參與職責(zé)以外的任何與安全有關(guān)的事情。 安全管理的實(shí)現(xiàn)信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。②　根據(jù)確定的安全等級(jí)，確定安全管理范圍。出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別系統(tǒng)，采用磁卡、身份卡等手段，對(duì)人員進(jìn)行識(shí)別、登記管理。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種。它是一個(gè)或一組系統(tǒng)，該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可已被外界訪問(wèn)，外界的哪些人可以訪問(wèn)內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。其主要有：應(yīng)用層網(wǎng)關(guān)、數(shù)據(jù)包過(guò)濾、代理服務(wù)器等幾大類型。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。按作用不同, 數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。認(rèn)證是指驗(yàn)證一個(gè)最終用戶或設(shè)備的身份過(guò)程，即認(rèn)證建立信息的發(fā)送者或接收者的身份。目前使用的認(rèn)證技術(shù)主要有：消息認(rèn)證、身份認(rèn)證、數(shù)字簽名。合格的防病毒軟件應(yīng)該具備以下條件：①、較強(qiáng)的查毒、殺毒能力。②、完善的升級(jí)服務(wù)。 常見(jiàn)的網(wǎng)絡(luò)攻擊及防范對(duì)策 特洛伊木馬特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。特洛伊木馬程序包括兩個(gè)部分，即實(shí)現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。此類攻擊對(duì)計(jì)算機(jī)的危害極大，通過(guò)特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫(xiě)未經(jīng)授權(quán)的文件，甚至可以獲得對(duì)被攻擊的計(jì)算機(jī)的控制權(quán)。避免下載可疑程序并拒絕執(zhí)行，運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽(tīng)TCP服務(wù)。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)對(duì)某一目標(biāo)的報(bào)復(fù)活動(dòng)中。 過(guò)載攻擊過(guò)載攻擊是攻擊者通過(guò)服務(wù)器長(zhǎng)時(shí)間發(fā)出大量無(wú)用的請(qǐng)求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無(wú)法滿足其他用戶的請(qǐng)求。防止過(guò)載攻擊的方法有：限制單個(gè)用戶所擁有的最大進(jìn)程數(shù)；殺死一些耗時(shí)的進(jìn)程。通過(guò)對(duì)單個(gè)用戶所擁有的最大進(jìn)程數(shù)的限制和耗時(shí)進(jìn)程的刪除，會(huì)使用戶某些正常的請(qǐng)求得不到系統(tǒng)的響應(yīng)，從而出現(xiàn)類似拒絕服務(wù)的現(xiàn)象。另外，還可以讓系統(tǒng)自動(dòng)檢查是否過(guò)載或者重新啟動(dòng)系統(tǒng)。TCP的這三次握手過(guò)程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會(huì)。由于此時(shí)主機(jī)的IP不存在或當(dāng)時(shí)沒(méi)有被使用所以無(wú)法向主機(jī)發(fā)送RST，因此，造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時(shí)。對(duì)付淹沒(méi)攻擊的最好方法是實(shí)時(shí)監(jiān)控系統(tǒng)處于SYNRECEIVED狀態(tài)的連接數(shù)，當(dāng)連接數(shù)超過(guò)某一給定的數(shù)值時(shí)，實(shí)時(shí)關(guān)閉這些連接。局域網(wǎng)中的拓?fù)浣Y(jié)構(gòu)主要有總線型，星型，環(huán)形等，而目前大多數(shù)都采用載波偵聽(tīng)多路訪問(wèn)/沖突檢測(cè)（Carrier Sense Multiple Access with Collision Detection ,CSMA/CD）,利用這一方法建成的網(wǎng)絡(luò),我們稱之為以太網(wǎng),在以太網(wǎng)的通信方式中,每一個(gè)工作站都可以讀取電纜上傳輸?shù)乃袛?shù)據(jù),將以太網(wǎng)卡()設(shè)置為混雜模式,網(wǎng)卡便會(huì)將電纜上傳輸?shù)乃械臄?shù)據(jù)讀入緩沖區(qū),非法接入等手段來(lái)偵聽(tīng)網(wǎng)絡(luò),截獲數(shù)據(jù),根據(jù)線路中的數(shù)據(jù)流量找到網(wǎng)絡(luò)的信息中心,因此布線要杜絕經(jīng)過(guò)不可靠的區(qū)域,以防止非法接入,在各網(wǎng)段的控制器上設(shè)置網(wǎng)段內(nèi)所有主機(jī)的介質(zhì)訪問(wèn)控制器(MAC)地址,該地址為6個(gè)字節(jié),對(duì)于每一個(gè)接入網(wǎng)絡(luò)中的計(jì)算機(jī)都必須先登記后連線接入,網(wǎng)段監(jiān)控程序一旦發(fā)現(xiàn)有陌生的MAC地址便發(fā)出警告,網(wǎng)管人員立即查找該設(shè)備,因此在局域網(wǎng)中應(yīng)該采用以下三種組網(wǎng)方式來(lái)加強(qiáng)安全防范.網(wǎng)絡(luò)分段 網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段,從而防上可能的非法偵聽(tīng).以交換式集線器代替共享式集線器 對(duì)局域網(wǎng)的中心計(jì)算機(jī)進(jìn)行分段后,當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí),兩臺(tái)機(jī)器之間的數(shù)據(jù)包(稱為單播包Nicest Packet),使單播包公在兩個(gè)節(jié)點(diǎn)之間傳送,從而防止非法偵聽(tīng)。基于以上拓?fù)浣Y(jié)構(gòu)的連接方式,用電纜和集線器連接而成的網(wǎng)絡(luò)始終是同一網(wǎng)段,在網(wǎng)上傳播的數(shù)據(jù)可以被所有的連接設(shè)備接收,為了防止網(wǎng)絡(luò)的入侵嗅探,可以把網(wǎng)絡(luò)分段,隔離網(wǎng)絡(luò)通信合用橋接器,交換器,路由器,應(yīng)用網(wǎng)關(guān)都可以實(shí)現(xiàn)各網(wǎng)段的通信隔離,同時(shí)將多個(gè)局域網(wǎng)進(jìn)行互聯(lián),拓展網(wǎng)絡(luò)形成廣域網(wǎng),還可將本地局域網(wǎng)與因特網(wǎng)連接從而成為全球最大的廣域網(wǎng)．但對(duì)于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全技術(shù)是加強(qiáng)對(duì)外界的攻擊的防范和應(yīng)策. 網(wǎng)絡(luò)攻擊淺析攻擊是指非授權(quán)行為。在網(wǎng)絡(luò)上成功實(shí)施的攻擊級(jí)別以來(lái)于擁護(hù)采取的安全措施。最常見(jiàn)的Does攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處理合法用戶的請(qǐng)求。通常，攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在Internet上的許多計(jì)算機(jī)上。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。計(jì)算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個(gè)受到DDoS攻擊的系統(tǒng)都沒(méi)有