【正文】 政治、軍事、經(jīng)濟(jì)等領(lǐng)域的安全和穩(wěn)定。目前黑客猖獗， 平均每 18秒鐘世界上就有一次黑客事件發(fā)生。 文中首先論述了信息網(wǎng)絡(luò)安全內(nèi)涵發(fā)生的根本變化，闡述了我國發(fā)展民族信息安全體系的重要性及建立有中國特色的網(wǎng)絡(luò)安全體系的必要性，以及網(wǎng)絡(luò)的安全管理。然后具體講述了網(wǎng)絡(luò)防火墻安全技術(shù)的分類及其主要技術(shù)特征，防火墻部署原則，并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)。最后分析網(wǎng)絡(luò)安全技術(shù)的研究現(xiàn)狀和動(dòng)向。 fire division wall 。 2 致 謝 .................................................................... 223 4 計(jì)算機(jī)網(wǎng)絡(luò)安全管理 姓名： 學(xué)號(hào)： 班級(jí)： 1. 引 言 概述 21世紀(jì)全世界的計(jì)算機(jī)都將通過 Inter聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。當(dāng)人類步入 21世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候，我國將建立起一套完整的網(wǎng)絡(luò)安全體系，特別是從政策上和 法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。我國在構(gòu)建信息防衛(wèi)系統(tǒng)時(shí)，應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品，我國要想真正解決網(wǎng)絡(luò)安全問題，最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè)，帶動(dòng)我國網(wǎng)絡(luò)安全技術(shù)的整體提高。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。 信息安全是國家發(fā)展所面臨的一個(gè)重要問題。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分，甚至應(yīng)該看到它對(duì)我國未來電子化、信息化的發(fā)展 將起到非常重要的作用。這種威脅將不斷給社會(huì)帶來了巨大的損失。隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢(shì)；給政府機(jī)構(gòu)、企事業(yè)單位帶來了革命性的改革。對(duì)于軍用 的自動(dòng)化指揮網(wǎng)絡(luò)、 C3I系統(tǒng)、銀行和政府等傳輸敏感數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡(luò)的脆弱性。為了確保信息的安全與暢通，研究計(jì)算機(jī)網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫。在目前法律法規(guī)尚不完善的情況下，首先是各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視，加強(qiáng)工作人員的責(zé)任心和防范意識(shí)，自覺執(zhí)行各項(xiàng)安全制度，在此基礎(chǔ)上，再采用先進(jìn)的技術(shù)和產(chǎn)品，構(gòu)造全方位的防御機(jī)制，使系統(tǒng)在理想的狀態(tài)下運(yùn)行。例如從普通使用者的角度來說，可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡 改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信技術(shù)的產(chǎn)物，是應(yīng)社會(huì)對(duì)信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設(shè)自己的信息高速公路。我相信在不長(zhǎng)的時(shí)間里，計(jì)算機(jī)網(wǎng)絡(luò)一定會(huì)得到極大的發(fā)展，那時(shí)將全面進(jìn)入信息時(shí)代。 網(wǎng)絡(luò)的安全管理 面對(duì)網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密 設(shè)施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理，因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問題。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作以得到保障。 ② 任期有限原則 7 一般來講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。 ③ 職責(zé)分離原則 除非經(jīng)系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情。 安全管理的實(shí)現(xiàn) 信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。 ② 根據(jù)確定的安全等級(jí)，確定安全管理范圍。出入管理可采用證件識(shí)別或安裝 自動(dòng)識(shí)別系統(tǒng)，采用磁卡、身份卡等手段，對(duì)人員進(jìn)行識(shí)別、登記管理。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種。它是一個(gè)或一組系統(tǒng)，該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可已被外界訪 8 問，外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。其主要有：應(yīng)用層網(wǎng)關(guān)、數(shù)據(jù)包過濾、代理服務(wù)器等幾大類型。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。按作用不同 , 數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。認(rèn)證是指驗(yàn)證一個(gè)最終用戶或設(shè)備的身份過程，即認(rèn)證建立信息的發(fā)送者或接收者的身份。目前使用的認(rèn)證技術(shù)主要有：消息認(rèn)證、身份認(rèn)證、數(shù)字簽名。合格的防病毒軟件應(yīng)該具備以下條件： ① 、較強(qiáng)的查毒、殺毒能力。 ② 、完善的升級(jí)服務(wù)。 9 常見的網(wǎng)絡(luò)攻擊及防范對(duì)策 特洛伊木馬 特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。特洛伊木馬程序包括兩個(gè)部分，即實(shí)現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。此類攻擊對(duì)計(jì)算機(jī)的危害極大，通過特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫未經(jīng)授權(quán)的文件，甚至可 以獲得對(duì)被攻擊的計(jì)算機(jī)的控制權(quán)。避免下載可疑程序并拒絕執(zhí)行，運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽 TCP 服務(wù)。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過計(jì)算機(jī)網(wǎng)絡(luò)對(duì)某一目標(biāo)的報(bào)復(fù)活動(dòng)中。 過載攻擊 過載攻擊是攻擊者通過服務(wù)器長(zhǎng)時(shí)間發(fā)出大量無用的請(qǐng)求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請(qǐng)求。 防止過載攻擊的方法有：限制單個(gè)用戶所擁有的最大進(jìn)程數(shù)；殺死一些耗時(shí)的進(jìn)程。通過對(duì)單個(gè)用戶所擁有的最大進(jìn)程數(shù)的限制和耗時(shí)進(jìn)程的刪除，會(huì)使用戶某些正常的請(qǐng)求得不到系統(tǒng)的響應(yīng)，從而出現(xiàn)類似拒絕服務(wù)的現(xiàn)象。另外，還可以讓系統(tǒng)自動(dòng)檢查是否過載或者重新啟動(dòng)系統(tǒng)。 TCP 的這三次握手過程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會(huì)。由于此時(shí)主機(jī)的 IP 不存在或當(dāng)時(shí)沒有被使用所以無法向主機(jī)發(fā)送 RST，因此，造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時(shí)。 對(duì)付淹沒攻擊的最好方法是實(shí)時(shí)監(jiān)控系統(tǒng)處于 SYNRECEIVED狀態(tài)的連接數(shù)，當(dāng)連接數(shù)超過某一給定的數(shù)值時(shí)，實(shí)時(shí)關(guān)閉這些連接。局域網(wǎng)中的拓?fù)浣Y(jié)構(gòu)主要有總線型，星型，環(huán)形等，而目前大多數(shù)都采用載波偵聽多路訪問 /沖突檢測(cè)（ Carrier Sense Multiple Access with Collision Detection ,CSMA/CD）也就是發(fā)展到現(xiàn)在的 規(guī)范 , 11 利用這一方法建成的網(wǎng)絡(luò) ,我們稱之為以太網(wǎng) ,在以太網(wǎng)的通信方式中 ,每一個(gè)工作站都可以讀取電纜上傳輸?shù)乃袛?shù) 據(jù) ,將以太網(wǎng)卡 (支持 規(guī)范的網(wǎng)卡 )設(shè)置為混雜模式 ,網(wǎng)卡便會(huì)將電纜上傳輸?shù)乃械臄?shù)據(jù)讀入緩沖區(qū) ,以供系統(tǒng)和程序調(diào)用 .但是入侵者還是可能通過割開網(wǎng)線 ,非法接入等手段來偵聽網(wǎng)絡(luò) ,截獲數(shù)據(jù) ,根據(jù)線路中的數(shù)據(jù)流量找到網(wǎng)絡(luò)的信息中心 ,因此布線要杜絕經(jīng)過不可靠的區(qū)域 ,以防止非法接入 ,在各網(wǎng)段的控制器上設(shè)置網(wǎng)段網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段 ,實(shí)際上也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施 .其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離 ,從而防上可能的非法偵聽 . 以交換式集線器代替共享式集線器 對(duì)局 域網(wǎng)的中心計(jì)算機(jī)進(jìn)行分段后 ,以太網(wǎng)的偵聽的危險(xiǎn)仍然存在 .這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī) ,而使用最廣泛的分支集線器通常是共享式集線器 .這樣 ,當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí) ,兩臺(tái)機(jī)器之間的數(shù)據(jù)包 (稱為單播包 Nicest Packet)還是會(huì)被同一臺(tái)集線器上的其他用戶所偵聽 .因此應(yīng)該以交換式集線器代替共享式集線器 ,使單播包公在兩個(gè)節(jié)點(diǎn)之間傳送 ,從而防止非法偵聽。 基于以上拓?fù)浣Y(jié)構(gòu)的連接方式 ,用電纜和集線器連接而成的網(wǎng)絡(luò)始終是同一網(wǎng)段 ,在網(wǎng)上傳播的數(shù)據(jù)可以被所有的連接設(shè)備接收 ,為了防止網(wǎng)絡(luò)的入侵嗅探 ,可以把網(wǎng)絡(luò)分段 ,隔離網(wǎng)絡(luò)通信合用橋接器 ,交換器 ,路由器 ,應(yīng)用網(wǎng)關(guān)都可以實(shí)現(xiàn)各網(wǎng)段的通信隔離 ,同時(shí)將多個(gè)局域網(wǎng)進(jìn)行互聯(lián) ,拓展網(wǎng)絡(luò)形成廣域網(wǎng) ,還可將本地局域網(wǎng)與因特網(wǎng)連接從而成為全球最大的廣域網(wǎng)．但對(duì)于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全技術(shù)是加強(qiáng)對(duì)外界的攻擊的防范和應(yīng)策 . 12 網(wǎng)絡(luò)攻擊淺析 攻擊是指非授權(quán)行為。在網(wǎng)絡(luò)上成功實(shí)施的攻擊級(jí)別以來于擁護(hù)采取的安全措施。最常見的 Does攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得 所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請(qǐng)求。通常，攻擊者使用一個(gè)偷竊帳號(hào)將 DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在 Inter上的許多計(jì)算機(jī)上。利用