計(jì)算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文

1、<p><b>　　計(jì)算機(jī)科學(xué)系</b></p><p><b>　?。ó厴I(yè)設(shè)計(jì)論文）</b></p><p>　　課題名稱： 網(wǎng)絡(luò)安全 </p><p>　　專 業(yè)： 計(jì)科系現(xiàn)代教育技術(shù) </p><p>　　班 級(jí)： ⒑計(jì)算機(jī)?？瓢?

2、 </p><p>　　姓 名： </p><p>　　學(xué) 號(hào)： </p><p>　　指導(dǎo)老師： </p><p>　　設(shè)計(jì)時(shí)間： 2012-2013學(xué)年第2學(xué)期 </p><p><b&g

3、t;　　網(wǎng)絡(luò)安全</b></p><p>　　摘要:計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，直接關(guān)系到一個(gè)國(guó)家的政治、軍事、經(jīng)濟(jì)等領(lǐng)域的安全和穩(wěn)定。目前黑客猖獗，平均每18秒鐘世界上就有一次黑客事件發(fā)生。因此，提高對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)，增強(qiáng)防范意識(shí)，強(qiáng)化防范措施，是保證信息產(chǎn)業(yè)持續(xù)穩(wěn)定發(fā)展的重要保證和前提條件。</p><p>　　文中首先論述了信息網(wǎng)絡(luò)安全內(nèi)涵發(fā)生的根本變化，闡述了我國(guó)發(fā)展民族

4、信息安全體系的重要性及建立有中國(guó)特色的網(wǎng)絡(luò)安全體系的必要性，以及網(wǎng)絡(luò)的安全管理。進(jìn)一步闡述了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全設(shè)計(jì)，包括對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的分析和對(duì)網(wǎng)絡(luò)安全的淺析。然后具體講述了網(wǎng)絡(luò)防火墻安全技術(shù)的分類及其主要技術(shù)特征，防火墻部署原則，并從防火墻部署的位置詳細(xì)闡述了防火墻的選擇標(biāo)準(zhǔn)。同時(shí)就信息交換加密技術(shù)的分類及RSA算法作了簡(jiǎn)要的分析，論述了其安全體系的構(gòu)成。最后分析網(wǎng)絡(luò)安全技術(shù)的研究現(xiàn)狀和動(dòng)向。</p><p>

5、　　關(guān)鍵字：網(wǎng)絡(luò)信息安全 防范技術(shù) 網(wǎng)絡(luò)管理 </p><p><b>　　目 錄</b></p><p><b>　　網(wǎng)絡(luò)安全1</b></p><p><b>　　目 錄1</b></p><p>　　第一章 引 言2</p&

6、gt;<p><b>　　1.1 概述2</b></p><p>　　1.2 網(wǎng)絡(luò)安全的研究目的3</p><p>　　1.3網(wǎng)絡(luò)安全的含義4</p><p>　　第二章 網(wǎng)絡(luò)安全初步分析5</p><p>　　2.1 網(wǎng)絡(luò)安全的必要5</p><p>　　2.2 網(wǎng)絡(luò)的安

7、全管理5</p><p>　　2.2.1 安全管理原則5</p><p>　　2.2.2 安全管理的實(shí)現(xiàn)6</p><p>　　2.3 采用先進(jìn)的技術(shù)和產(chǎn)品6</p><p>　　2.3.1 防火墻技術(shù)6</p><p>　　2.3.2加密技術(shù)6</p><p>　　2.3.3 認(rèn)證

8、技術(shù)7</p><p>　　2.3.4 計(jì)算機(jī)病毒的防范7</p><p>　　2.4 常見(jiàn)的網(wǎng)絡(luò)攻擊及防范對(duì)策7</p><p>　　2.4.1 郵件炸彈7</p><p>　　2.4.2 特洛伊木馬8</p><p>　　2.4.3 過(guò)載攻擊8</p><p>　　2.4.4 淹

9、沒(méi)攻擊8</p><p>　　第三章 網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)10</p><p>　　3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析10</p><p>　　3.2 網(wǎng)絡(luò)攻擊淺析11</p><p>　　第四章 防范技術(shù)13</p><p>　　4.1 防火墻的定義與選擇13</p><p>　　4.2 對(duì)稱

10、加密技術(shù)14</p><p>　　4.3公開密鑰加密14</p><p>　　4.4 RSA算法14</p><p>　　4.5 注冊(cè)與認(rèn)證管理15</p><p>　　4.5.1 認(rèn)證機(jī)構(gòu)15</p><p>　　4.5.2 注冊(cè)機(jī)構(gòu)15</p><p>　　4.5.3 密鑰備份和

11、恢復(fù)15</p><p>　　4.5.4 證書管理與撤消系統(tǒng)15</p><p>　　第五章 安全技術(shù)的研究16</p><p>　　5.1 安全技術(shù)的研究現(xiàn)狀和方向16</p><p>　　5.1.1 包過(guò)濾型16</p><p>　　5.1.2 代理型16</p><p><

12、;b>　　結(jié)束語(yǔ)18</b></p><p>　　參 考 文 獻(xiàn)18</p><p><b>　　第一章 引 言</b></p><p><b>　　1.1 概述</b></p><p>　　21世紀(jì)全世界的計(jì)算機(jī)都將通過(guò)Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本

13、的變化。世界各國(guó)的競(jìng)爭(zhēng)已成為已經(jīng)濟(jì)為基礎(chǔ)、以科技（特別是高科技）為先導(dǎo)的綜合國(guó)力的競(jìng)爭(zhēng)。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無(wú)處不在。當(dāng)人類步入21世紀(jì)這一信息社會(huì)、網(wǎng)絡(luò)社會(huì)的時(shí)候，信息化的發(fā)展將起到非常重要的作用，我國(guó)也將要建立起一套完整的安全網(wǎng)絡(luò)安全體系。</p><p>　　當(dāng)今，信息科學(xué)技術(shù)是知識(shí)高度密集、科學(xué)高度綜合、具有科學(xué)與技術(shù)融合特征的學(xué)科。他直接滲透到經(jīng)濟(jì)、

14、文化和社會(huì)的各個(gè)領(lǐng)域，迅速改變著人們的觀念、生活和社會(huì)的結(jié)構(gòu)，是當(dāng)代發(fā)展知識(shí)經(jīng)濟(jì)的支柱之一。信息安全體系實(shí)際上包括國(guó)家的法規(guī)和政策，以及技術(shù)與市場(chǎng)的發(fā)展平臺(tái)。我們?cè)跇?gòu)建信息防衛(wèi)系統(tǒng)時(shí)，應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品，要想真正解決網(wǎng)絡(luò)安全問(wèn)題，最終的辦法就是通過(guò)發(fā)展民族的安全產(chǎn)業(yè)，帶動(dòng)我國(guó)網(wǎng)絡(luò)安全技術(shù)的整體提高。</p><p>　　網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn)：</p><p>　?、倬W(wǎng)絡(luò)的安

15、全機(jī)制與技術(shù)要不斷地變化；</p><p>　?、诰W(wǎng)絡(luò)安全來(lái)源于安全策略與技術(shù)的多樣化，如果采用統(tǒng)一的技術(shù)和策略也就不安全了；</p><p>　?、垭S著網(wǎng)絡(luò)在社會(huì)各個(gè)方面的提高，進(jìn)入網(wǎng)絡(luò)的手段也越來(lái)越多，因此，網(wǎng)絡(luò)安全技術(shù)也變成復(fù)雜的系統(tǒng)工程。</p><p>　　信息安全是國(guó)家發(fā)展所面臨的一個(gè)重要問(wèn)題。為此建立有中國(guó)特色的網(wǎng)絡(luò)安全體系，需要國(guó)家政策和法規(guī)的支持及

16、技術(shù)人員研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面，相互促進(jìn)、總是不斷地向上攀升，所以網(wǎng)絡(luò)安全將來(lái)也會(huì)變成一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。</p><p>　　1.2 網(wǎng)絡(luò)安全的研究目的</p><p>　　目前計(jì)算機(jī)網(wǎng)絡(luò)面臨著很大的威脅，其構(gòu)成的因素是多方面的。這種威脅將不斷給社會(huì)帶來(lái)了巨大的損失。網(wǎng)絡(luò)安全已被信息社會(huì)的各個(gè)領(lǐng)域所重視。隨著計(jì)算機(jī)網(wǎng)</p><p&g

17、t;　　絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢(shì)；網(wǎng)絡(luò)安全技術(shù)的發(fā)展給政府機(jī)構(gòu)、企事業(yè)單位帶來(lái)了革命性的改革。通過(guò)網(wǎng)絡(luò)，他們可以從異地取回重要數(shù)據(jù)，由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性、經(jīng)濟(jì)性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌行為的攻擊，因此同時(shí)他們也將面對(duì)數(shù)據(jù)安全的威脅。所以網(wǎng)上信息的安全和保密也成為最難最重要的問(wèn)題。對(duì)于軍用的自動(dòng)化指揮網(wǎng)絡(luò)（C3I系統(tǒng)）、銀行和政府等傳輸敏感

18、數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。</p><p>　　綜上所述：網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是多余的、甚至?xí)?guó)家安全。無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)都存在著自然脆弱性和人為等諸多因素的潛在威脅。故此，網(wǎng)絡(luò)的安全措施應(yīng)能全方位地針對(duì)各種不同的威脅和網(wǎng)絡(luò)的脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究計(jì)算機(jī)網(wǎng)絡(luò)的安全以及防范措施已迫在眉

19、睫。</p><p>　　本文就進(jìn)行初步探討計(jì)算機(jī)網(wǎng)絡(luò)安全的管理及其技術(shù)措施。認(rèn)真分析網(wǎng)絡(luò)面臨的威脅，我認(rèn)為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個(gè)極為復(fù)雜的系統(tǒng)工程，是一個(gè)安全管理和技術(shù)防范相結(jié)合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視，加強(qiáng)工作人員的責(zé)任心和防范意識(shí)，自覺(jué)執(zhí)行各項(xiàng)安全制度，在此基礎(chǔ)上，再采用先進(jìn)的技術(shù)和產(chǎn)品，構(gòu)造全方位的防御機(jī)制，使系統(tǒng)在理想的狀態(tài)下運(yùn)行。<

20、/p><p>　　1.3網(wǎng)絡(luò)安全的含義</p><p>　　信息安全是指網(wǎng)絡(luò)系統(tǒng)的部件、程序、數(shù)據(jù)的安全性，他通過(guò)網(wǎng)絡(luò)信息的存儲(chǔ)、傳輸和使用過(guò)程的體現(xiàn)。所謂的網(wǎng)絡(luò)安全行就是保護(hù)網(wǎng)絡(luò)程序、數(shù)據(jù)或設(shè)備，使其免受非授權(quán)使用或訪問(wèn)。網(wǎng)絡(luò)安全本質(zhì)上就是信息安全，廣而言之，凡是涉及網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)可理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。</p><p>

21、　　第二章 網(wǎng)絡(luò)安全初步分析</p><p>　　2.1 網(wǎng)絡(luò)安全的必要</p><p>　　隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為信息時(shí)代的重要特征，人們稱它為信息高速公路。網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信技術(shù)的產(chǎn)物，是社會(huì)對(duì)信息共享和信息傳遞的要求發(fā)展起來(lái)的，各國(guó)都在建設(shè)自己的信息高速公路。我國(guó)近年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的速度也很快，在國(guó)防、電信、銀行、廣播等方面都有廣泛的應(yīng)用。我相信在不長(zhǎng)的時(shí)

22、間里，計(jì)算機(jī)網(wǎng)絡(luò)一定會(huì)得到極大的發(fā)展，那時(shí)將全面進(jìn)入信息時(shí)代。正因?yàn)榫W(wǎng)絡(luò)應(yīng)用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的。</p><p>　　2.2 網(wǎng)絡(luò)的安全管理</p><p>　　網(wǎng)絡(luò)管理是指對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行檢測(cè)和控制，使其能夠有效、可靠、安全、經(jīng)濟(jì)地提供服服務(wù)。面對(duì)網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密設(shè)施外，還必須花大力氣加

23、強(qiáng)網(wǎng)絡(luò)的安全管理，因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問(wèn)題。</p><p>　　2.2.1 安全管理原則</p><p>　　網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于3個(gè)原則：</p><p>　?、佟《嗳素?fù)責(zé)原則：每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠(chéng)可靠，能勝任此項(xiàng)

24、工作；他們應(yīng)該簽署工作情況記錄以證明安全工作以得到保障。與安全有關(guān)的活動(dòng)有：訪問(wèn)控制使用證件的發(fā)放與回收；信息處理系統(tǒng)使用的媒介發(fā)放與回收；處理保密信息；硬件和軟件的維護(hù)；系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改；重要程序和數(shù)據(jù)的刪除和銷毀等。</p><p>　　②　任期有限原則：一般來(lái)講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行

25、休假制度，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。</p><p>　?、邸÷氊?zé)分離原則：除非經(jīng)系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽(tīng)、了解或參與職責(zé)以外的任何與安全有關(guān)的事情。出與對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開：計(jì)算機(jī)操作與計(jì)算機(jī)編程；機(jī)密資料的接收與傳送；安全管理和系統(tǒng)管理；應(yīng)用程序和系統(tǒng)程序的編制；訪問(wèn)證件的管理與其他工作；計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保

26、管等。</p><p>　　2.2.2 安全管理的實(shí)現(xiàn)</p><p>　　信息安全實(shí)現(xiàn)是指為保證提供一定的安全保證所必需遵守的規(guī)則。具體工作如下：</p><p>　?、佟∮脩魧?duì)自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定該系統(tǒng)的安全等級(jí)。</p><p>　　②　根據(jù)確定的安全等級(jí)，確定安全管理范圍。</p><p>　?、邸?/p>

27、制訂相應(yīng)管理制度，對(duì)于安全等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無(wú)關(guān)的區(qū)域。出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別系統(tǒng)，采用磁卡、身份卡等手段，對(duì)人員進(jìn)行識(shí)別、登記管理。</p><p>　　2.3 采用先進(jìn)的技術(shù)和產(chǎn)品</p><p>　　要保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性，還要采用一些先進(jìn)的技術(shù)和產(chǎn)品。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種。</p><p

28、>　　2.3.1 防火墻技術(shù)</p><p>　　為保證網(wǎng)絡(luò)安全，防止外部網(wǎng)對(duì)內(nèi)部網(wǎng)的非法入侵，在被保護(hù)的網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)之間設(shè)置一道屏障這就稱為防火墻。它是一個(gè)或一組系統(tǒng)，該系統(tǒng)可以設(shè)定哪些內(nèi)部服務(wù)可已被外界訪問(wèn)，外界的哪些人可以訪問(wèn)內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。它可監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，確認(rèn)其來(lái)源及去處，檢查數(shù)據(jù)的格式及內(nèi)容，并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其主要有

29、：應(yīng)用層網(wǎng)關(guān)、數(shù)據(jù)包過(guò)濾、代理服務(wù)器等幾大類型。</p><p><b>　　2.3.2加密技術(shù)</b></p><p>　　與防火墻配合使用的安全技術(shù)還有數(shù)據(jù)加密技術(shù)，是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要技術(shù)手段之一。原始的消息稱為明文，而加密后的消息稱為密文。從明文到密文的變換過(guò)程稱加密，從密文到明文的變換過(guò)程稱解密。隨著信息

30、技術(shù)的發(fā)展，網(wǎng)絡(luò)安全與信息保密日益引起人們的關(guān)注。目前各國(guó)除了從法律上、管理上加強(qiáng)數(shù)據(jù)的安全保護(hù)外，從技術(shù)上分別在軟件和硬件兩方面采取措施，推動(dòng)著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷發(fā)展。按作用不同, 數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。</p><p>　　2.3.3 認(rèn)證技術(shù)</p><p>　　認(rèn)證技術(shù)是防止主動(dòng)攻擊的重要手段，指驗(yàn)證一個(gè)最終用戶

31、或設(shè)備的身份過(guò)程，即認(rèn)證建立信息的發(fā)送者或接收者的身份。認(rèn)證的主要目的有兩個(gè)：第一，驗(yàn)證信息的發(fā)送者是真正的，而不是冒充的，這稱為信號(hào)源識(shí)別；第二，驗(yàn)證信息的完整性，保證信息在傳送過(guò)程中未被竄改或延遲等。目前使用的認(rèn)證技術(shù)主要有：消息認(rèn)證、身份認(rèn)證、數(shù)字簽名。它對(duì)于開放環(huán)境中的各種信息的安全有重作用。</p><p>　　2.3.4 計(jì)算機(jī)病毒的防范</p><p>　　首先要加強(qiáng)工作人員

32、防病毒的意識(shí)，其次是安裝好的殺毒軟件。合格的防病毒軟件應(yīng)該具備以下條件：</p><p>　?、佟⑤^強(qiáng)的查毒、殺毒能力。在當(dāng)前全球計(jì)算機(jī)網(wǎng)絡(luò)上流行的計(jì)算機(jī)病毒有４萬(wàn)多種，在各種操作系統(tǒng)中包括Windows、 UNIX都有大量能夠造成危害的計(jì)算機(jī)病毒，這就要求安裝的防病毒軟件能夠查殺多種系統(tǒng)環(huán)境下的病毒，具有查毒、殺毒范圍廣、能力強(qiáng)的特點(diǎn)。</p><p>　?、?、完善的升級(jí)服務(wù)。與其它軟件

33、相比，防病毒軟件更需要不斷地更新升級(jí)，以查殺層出不窮的計(jì)算機(jī)病毒。</p><p>　　2.4 常見(jiàn)的網(wǎng)絡(luò)攻擊及防范對(duì)策</p><p>　　2.4.1 郵件炸彈</p><p>　　郵件炸彈是最古老的匿名攻擊之一，通過(guò)設(shè)置一臺(tái)機(jī)器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬，占據(jù)郵箱的空間，使用戶的存儲(chǔ)空間消耗殆盡，從而阻止用戶對(duì)正常郵件的接

34、收，防礙計(jì)算機(jī)的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)對(duì)某一目標(biāo)的報(bào)復(fù)活動(dòng)中。</p><p>　　防止郵件炸彈的方法主要有通過(guò)配置路由器，有選擇地接收電子郵件，對(duì)郵件地址進(jìn)行配置，自動(dòng)刪除來(lái)自同一主機(jī)的過(guò)量或重復(fù)的消息，也可使自己的SMTP連接只能達(dá)成指定的服務(wù)器，從而免受外界郵件的侵襲。</p><p>　　2.4.2 特洛伊木馬</p><p>　

35、　特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因?yàn)樵谔芈逡?lt;/p><p>　　木馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時(shí)，表面上是執(zhí)行正常的程序，而實(shí)際上是在執(zhí)行用戶不希望的程序。特洛伊木馬程序包括兩個(gè)部分，即實(shí)現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。特洛伊木馬具有很強(qiáng)的生命力，在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個(gè)含有特洛伊木馬的程序時(shí)，它能把自己插入一些未被感染的程序中，從而使它

36、們受到感染。此類攻擊對(duì)計(jì)算機(jī)的危害極大，通過(guò)特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫未經(jīng)授權(quán)的文件，甚至可以獲得對(duì)被攻擊的計(jì)算機(jī)的控制權(quán)。 </p><p>　　防止在正常程序中隱藏特洛伊木馬的主要是人們?cè)谏晌募r(shí)，對(duì)每一個(gè)文件進(jìn)行數(shù)字簽名，而在運(yùn)行文件時(shí)通過(guò)對(duì)數(shù)字簽名的檢查來(lái)判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽(tīng)TCP服務(wù)。</p

37、><p>　　2.4.3 過(guò)載攻擊</p><p>　　過(guò)載攻擊是攻擊者通過(guò)服務(wù)器長(zhǎng)時(shí)間發(fā)出大量無(wú)用的請(qǐng)求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無(wú)法滿足其他用戶的請(qǐng)求。過(guò)載攻擊中被攻擊者用得最多的一種方法是進(jìn)程攻擊，它是通過(guò)大量地進(jìn)行人為地增大CPU的工作量，耗費(fèi)CPU的工作時(shí)間，使其它的用戶一直處于等待狀態(tài)。</p><p>　　防止過(guò)載攻擊的方法有：限制單個(gè)用戶

38、所擁有的最大進(jìn)程數(shù)；殺死一些耗時(shí)的進(jìn)程。</p><p>　　2.4.4 淹沒(méi)攻擊</p><p>　　正常情況下，TCP連接建立要經(jīng)歷3次握手的過(guò)程，即客戶機(jī)向主機(jī)發(fā)送SYN請(qǐng)求信號(hào)；目標(biāo)主機(jī)收到請(qǐng)求信號(hào)后向客戶機(jī)發(fā)送SYN/ACK消息；客戶機(jī)收到SYN/ACK消息后再向主機(jī)發(fā)送RST信號(hào)并斷開連接。TCP的這三次握手過(guò)程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會(huì)。攻擊者可以使用一個(gè)不存在或當(dāng)時(shí)沒(méi)有被使

39、用的主機(jī)的IP地址，向被攻擊主機(jī)發(fā)出SYN請(qǐng)求信號(hào)，當(dāng)被攻擊主機(jī)收到SYN請(qǐng)求信號(hào)后，它向這臺(tái)不存在IP地址的偽裝主機(jī)發(fā)出SYN/消息。由于此時(shí)主機(jī)的IP不存在或當(dāng)時(shí)沒(méi)有被使用所以無(wú)法向主機(jī)發(fā)送RST，因此，造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時(shí)。如果攻擊者不斷地向被攻擊的主機(jī)發(fā)送SYN請(qǐng)求，被攻擊主機(jī)就會(huì)一直處于等待狀態(tài)，從而無(wú)法響應(yīng)其他用戶的請(qǐng)求。</p><p>　　對(duì)付淹沒(méi)攻擊的最好方法是實(shí)時(shí)監(jiān)控系統(tǒng)

40、處于SYN-RECEIVED狀態(tài)的連接數(shù)，當(dāng)連接數(shù)超過(guò)某一給定的數(shù)值時(shí)，實(shí)時(shí)關(guān)閉這些連接。</p><p>　　第三章 網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)計(jì)</p><p>　　3.1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析</p><p>　　網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)首先應(yīng)因地制宜，根據(jù)組網(wǎng)單位的實(shí)際情況按照單位的各部門安全性要求劃分，盡量使同一安全級(jí)別的上網(wǎng)計(jì)算機(jī)處于同一網(wǎng)段的安全控制域中。局域網(wǎng)中的拓?fù)浣Y(jié)構(gòu)主

41、要有總線型，星型，環(huán)形等，而目前大多數(shù)都采用載波偵聽(tīng)多路訪問(wèn)/沖突檢測(cè)（Carrier Sense Multiple Access with Collision Detection ,CSMA/CD）也就是發(fā)展到現(xiàn)在的IEEE802.3規(guī)范,利用這一方法建成的網(wǎng)絡(luò),我們稱之為以太網(wǎng),在以太網(wǎng)的通信方式中,每一個(gè)工作站都可以讀取電纜上傳輸?shù)乃袛?shù)據(jù),將以太網(wǎng)卡(支持IEEE802.3規(guī)范的網(wǎng)卡)設(shè)置為混雜模式,網(wǎng)卡便會(huì)將電纜上傳輸?shù)乃械?/p>

42、數(shù)據(jù)讀入緩沖區(qū),以供系統(tǒng)和程序調(diào)用.但是入侵者還是可能通過(guò)割開網(wǎng)線,非法接入等手段來(lái)偵聽(tīng)網(wǎng)絡(luò),截獲數(shù)據(jù),根據(jù)線路中的數(shù)據(jù)流量找到網(wǎng)絡(luò)的信息中心,因此布線要杜絕經(jīng)過(guò)不可靠的區(qū)域,以防止非法接入,在各網(wǎng)段的控制器上設(shè)置網(wǎng)段內(nèi)所有主機(jī)的介質(zhì)訪問(wèn)控制器(MAC)地址,該地址為6個(gè)字節(jié),是用來(lái)區(qū)分網(wǎng)絡(luò)設(shè)備的唯一標(biāo)志.此外,對(duì)于每一個(gè)接入網(wǎng)絡(luò)中的計(jì)算機(jī)都必須先登記后連線接入,網(wǎng)段監(jiān)控程序一旦發(fā)現(xiàn)有陌生的MA</p><p>

43、　　網(wǎng)絡(luò)分段 網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段,實(shí)際上也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施.其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離,從而防上可能的非法偵聽(tīng).</p><p>　　以交換式集線器代替共享式集線器 對(duì)局域網(wǎng)的中心計(jì)算機(jī)進(jìn)行分段后,以太網(wǎng)的偵聽(tīng)的危險(xiǎn)仍然存在.這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過(guò)分支集線器而不是中心交換機(jī),而使用最廣泛的分支集線器通常是共享式集線器.這樣,當(dāng)用戶與主機(jī)

44、進(jìn)行數(shù)據(jù)通信時(shí),兩臺(tái)機(jī)器之間的數(shù)據(jù)包(稱為單播包Nicest Packet)還是會(huì)被同一臺(tái)集線器上的其他用戶所偵聽(tīng).因此應(yīng)該以交換式集線器代替共享式集線器,使單播包公在兩個(gè)節(jié)點(diǎn)之間傳送,從而防止非法偵聽(tīng)。</p><p>　　VLAN(虛擬局域網(wǎng))的劃分 為了克服以太網(wǎng)的廣播問(wèn)題,除上述方法外,還可以運(yùn)用VLAN技術(shù),將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信,以防止大部分基于網(wǎng)絡(luò)偵聽(tīng)的入侵。</p><p

45、>　　基于以上拓?fù)浣Y(jié)構(gòu)的連接方式,用電纜和集線器連接而成的網(wǎng)絡(luò)始終是同一網(wǎng)段,在網(wǎng)上傳播的數(shù)據(jù)可以被所有的連接設(shè)備接收,為了防止網(wǎng)絡(luò)的入侵嗅探,可以把網(wǎng)絡(luò)分段,隔離網(wǎng)絡(luò)通信合用橋接器,交換器,路由器,應(yīng)用網(wǎng)關(guān)都可以實(shí)現(xiàn)各網(wǎng)段的通信隔離,同時(shí)將多個(gè)局域網(wǎng)進(jìn)行互聯(lián),拓展網(wǎng)絡(luò)形成廣域網(wǎng),還可將本地局域網(wǎng)與因特網(wǎng)連接從而成為全球最大的廣域網(wǎng)．但對(duì)于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全技術(shù)是加強(qiáng)對(duì)外界的攻擊的防范和應(yīng)策.</p><p&g

46、t;　　3.2 網(wǎng)絡(luò)攻擊淺析</p><p>　　攻擊是指非授權(quán)行為，任何危害系統(tǒng)信息安全的活動(dòng)都是安全攻擊。攻擊的范圍從簡(jiǎn)單的使服務(wù)器無(wú)法提供正常的服務(wù)到安全破壞、控制服務(wù)器。在網(wǎng)絡(luò)上成功實(shí)施的攻擊級(jí)別以來(lái)于擁護(hù)采取的安全措施。</p><p>　　在此先分析眼下比較流行的攻擊Dodos分布式拒絕服務(wù)攻擊：Does是Denial of Service的簡(jiǎn)稱，即拒絕服務(wù)，造成Does的攻擊

47、行為被稱為Does攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。最常見(jiàn)的Does攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請(qǐng)求就無(wú)法通過(guò)。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計(jì)算機(jī)無(wú)法再處理合法用戶的請(qǐng)求。而分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊是借助于客

48、戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在Internet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。（見(jiàn)圖一）而且現(xiàn)在沒(méi)有有限的方法來(lái)避</p>

49、<p>　　因?yàn)榇斯艋赥CP/IP協(xié)議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做到的那我們要如何放置呢？</p><p>　　1.確保所有服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁。計(jì)算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個(gè)受到DDoS攻擊的系統(tǒng)都沒(méi)有及時(shí)打上補(bǔ)丁。 </p><p>　　2．確保管理員對(duì)所有主機(jī)進(jìn)行檢查，而不僅針對(duì)關(guān)鍵主機(jī)。這是為了確保管理員知道每個(gè)主機(jī)系統(tǒng)在運(yùn)

50、行什么？誰(shuí)在使用主機(jī)？哪些人可以訪問(wèn)主機(jī)？不然，即使黑客侵犯了系統(tǒng)，也很難查明。 </p><p>　　3．確保運(yùn)行在Unix上的所有服務(wù)都有TCP封裝程序，限制對(duì)主機(jī)的訪問(wèn)權(quán)限。 </p><p>　　4．禁止內(nèi)部網(wǎng)通過(guò)Modem連接至PSTN系統(tǒng)。否則，黑客能通過(guò)電話線發(fā)現(xiàn)未受保護(hù)的主機(jī)，即刻就能訪問(wèn)極為機(jī)密的數(shù)據(jù)。 </p><p>　　6．限制在防火墻外與網(wǎng)

51、絡(luò)文件共享。這會(huì)使黑客有機(jī)會(huì)截獲系統(tǒng)文件，并以特洛伊木馬替換它，文件傳輸功能無(wú)異將陷入癱瘓。 </p><p>　　8．在防火墻上運(yùn)行端口映射程序或端口掃描程序。大多數(shù)事件是由于防火墻配置不當(dāng)造成的，使DoS/DDoS攻擊成功率很高，所以定要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。 </p><p>　　9．檢查所有網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或時(shí)間出現(xiàn)變更，幾乎可以肯定：相關(guān)

52、的主機(jī)安全受到了威脅。</p><p><b>　　第四章 防范技術(shù)</b></p><p>　　4.1 防火墻的定義與選擇</p><p>　　網(wǎng)絡(luò)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式

53、按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。防火墻可以是一臺(tái)計(jì)算機(jī)系統(tǒng)，也可以是兩臺(tái)或更多的系統(tǒng)協(xié)同工作起到防火墻的作用。</p><p>　　目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過(guò)濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。</p><p>　　雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無(wú)

54、法防范通過(guò)防火墻以外的其它途徑的攻擊，不能防止來(lái)自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來(lái)的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。</p><p>　　防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安

55、全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過(guò)濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。</p><p>　　防火墻的選擇：①防火墻作為網(wǎng)絡(luò)系統(tǒng)的安全屏障, 防火墻本身是安全的 作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機(jī)。如果像馬其

56、諾防線一樣,正面雖然牢不可破,但進(jìn)攻者能夠輕易地繞過(guò)防線進(jìn)入系統(tǒng)內(nèi)部,網(wǎng)絡(luò)系統(tǒng)也就沒(méi)有任何安全性可言了。 </p><p>　　通常,防火墻的安全性問(wèn)題來(lái)自兩個(gè)方面:其一是防火墻本身的設(shè)計(jì)是否合理,這類問(wèn)題一般用戶根本無(wú)從入手,只有通過(guò)權(quán)威認(rèn)證機(jī)構(gòu)的全面測(cè)試才能確定。所以對(duì)用戶來(lái)說(shuō),保守的方法是選擇一個(gè)通過(guò)多家權(quán)威認(rèn)證機(jī)構(gòu)測(cè)試的產(chǎn)品。其二是使用不當(dāng)。一般來(lái)說(shuō),防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員

57、對(duì)防火墻不十分熟悉,就有可能在配置過(guò)程中遺留大量的安全漏洞。②在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒(méi)有必要購(gòu)置過(guò)于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加,網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升,此時(shí)便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購(gòu)置的防火墻沒(méi)有可擴(kuò)充性,或擴(kuò)充成本極高,這便是對(duì)投資的浪費(fèi)。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購(gòu)基本系統(tǒng),

58、而隨著要求的提高,用戶仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶的投資,對(duì)提供防火墻產(chǎn)品的廠商來(lái)說(shuō),也擴(kuò)大了產(chǎn)品覆蓋面。 </p><p>　　4.2 對(duì)稱加密技術(shù)</p><p>　　在對(duì)稱加密技術(shù)中，對(duì)信息的加密和解密都使用相同的鑰，也就是說(shuō)一把鑰匙開一把鎖。這種加密方法可簡(jiǎn)化加密處理過(guò)程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機(jī)密性

59、和報(bào)文完整性就可以得以保證。對(duì)稱加密技術(shù)也存在一些不足，如果交換一方有N個(gè)交換對(duì)象，那么他就要維護(hù)N個(gè)私有密鑰，對(duì)稱加密存在的另一個(gè)問(wèn)題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對(duì)方的。如三重DES是DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）的一種變形，這種方法使用兩個(gè)獨(dú)立的56為密鑰對(duì)信息進(jìn)行3次加密，從而使有效密鑰長(zhǎng)度達(dá)到112位。 </p><p>　　4.3公開密鑰加密 </p>&

60、lt;p>　　公鑰密碼的發(fā)展是整個(gè)密碼學(xué)發(fā)展史上最偉大的一次革命。它是基于數(shù)學(xué)函數(shù)的算法而不再是基于置換和代替技術(shù)。更重要的是，公鑰密碼是非對(duì)稱的，公鑰算法依賴于一個(gè)與之相關(guān)但不相同的解密密鑰。他使用兩個(gè)獨(dú)立的密鑰。公鑰密碼在保密性、密鑰分配和認(rèn)證領(lǐng)域有重要的意義。</p><p>　　4.4 RSA算法 </p><p>　　RSA算法是Rivest、Shamir和Adleman于

61、1977年提出的第一個(gè)完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。它是第一個(gè)既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。在RSA體制中使用了這樣一個(gè)基本事實(shí)：到目前為止，無(wú)法找到一個(gè)有效的算法來(lái)分解兩大素?cái)?shù)之積。利用目前已經(jīng)掌握的知識(shí)和理論，分解2048bit的大整數(shù)已經(jīng)超過(guò)了64位計(jì)算機(jī)的運(yùn)算能力，因此在目前和預(yù)見(jiàn)的將來(lái)，它是足夠安全的。</p><p>　　4.5 注冊(cè)與認(rèn)證管理</p>

62、<p>　　4.5.1 認(rèn)證機(jī)構(gòu)</p><p>　　CA（Certification Authorty）就是這樣一個(gè)確保信任度的權(quán)威實(shí)體，它的主要職責(zé)是頒發(fā)證書、驗(yàn)證用戶身份的真實(shí)性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明—證書，任何相信該CA的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來(lái)防止電子證書被偽造或篡改。構(gòu)建一個(gè)具有較強(qiáng)安全性的CA是至關(guān)重要的，這不僅與密碼

63、學(xué)有關(guān)系，而且與整個(gè)PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外，靈活也是CA能否得到市場(chǎng)認(rèn)同的一個(gè)關(guān)鍵，它不需支持各種通用的國(guó)際標(biāo)準(zhǔn)，能夠很好地和其他廠家的CA產(chǎn)品兼容。 </p><p>　　4.5.2 注冊(cè)機(jī)構(gòu) </p><p>　　RA（Registration Authority）是用戶和CA的接口，它所獲得的用戶標(biāo)識(shí)的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對(duì)面的登記，也必須支持遠(yuǎn)程登

64、記。要確保整個(gè)PKI系統(tǒng)的安全、靈活，就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。 </p><p>　　4.5.3 密鑰備份和恢復(fù) </p><p>　　為了保證數(shù)據(jù)的安全性，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計(jì)和實(shí)現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù)，也是關(guān)系到整個(gè)PKI系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。 </p><p

65、>　　4.5.4 證書管理與撤消系統(tǒng) </p><p>　　證書是用來(lái)證明證書持有者身份的電子介質(zhì)，它是用來(lái)綁定證書持有者身份和其相應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個(gè)生命周期里是有效的。但是，有時(shí)也會(huì)出現(xiàn)一個(gè)已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動(dòng)到對(duì)密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實(shí)現(xiàn)是利用周期性的發(fā)布機(jī)制撤消證書或采用在線查詢機(jī)制，隨時(shí)查詢被

66、撤消的證書。</p><p>　　第五章 安全技術(shù)的研究</p><p>　　5.1 安全技術(shù)的研究現(xiàn)狀和方向</p><p>　　我國(guó)信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段，正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測(cè)、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生

67、化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長(zhǎng)期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案，目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開展研究，各部分相互協(xié)同形成有機(jī)整體。根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換、代理型和監(jiān)測(cè)型。 </p><p>　　5.1.1 包過(guò)濾型</p><p>　

68、　包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。</p>

69、<p>　　包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。</p><p>　　但包過(guò)濾技術(shù)的缺陷也是明顯的。包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無(wú)法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過(guò)包過(guò)濾型防火墻。&

70、lt;/p><p><b>　　5.1.2 代理型</b></p><p>　　代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過(guò)濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來(lái)看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來(lái)看,代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)

71、求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。</p><p>　　代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,

72、大大增加了系統(tǒng)管理的復(fù)雜性。 </p><p>　　實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過(guò)濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過(guò)濾。例如,它可以過(guò)濾掉FTP連接中的PUT命令,而且通過(guò)代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過(guò)程中的矛盾主要集中在對(duì)多種網(wǎng)

73、絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。</p><p><b>　　結(jié)束語(yǔ)</b></p><p>　　互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為了人民不可或缺的工具，其發(fā)展速度也快得驚人，以此而來(lái)的攻擊破壞可謂層出不窮，為了有效的防止入侵把損失降到最低，我們必須時(shí)刻注意安全問(wèn)題，使用盡量多而可靠的安全工具經(jīng)常維護(hù)，讓我們的網(wǎng)絡(luò)體系完善可靠，在INTERNET為我們提供了大量的便捷的

74、同時(shí),也在安全性方面帶給我們嚴(yán)峻的挑戰(zhàn).我們不能因?yàn)楹ε绿魬?zhàn)而拒絕它,否則會(huì)得不償失.信息安全是一個(gè)國(guó)家發(fā)展所面臨的一個(gè)重要問(wèn)題。對(duì)于這個(gè)問(wèn)題，我們還沒(méi)有從系統(tǒng)的規(guī)劃上去考慮它，從技術(shù)上、產(chǎn)業(yè)上、政策上來(lái)發(fā)展它。政府不僅應(yīng)該看見(jiàn)信息安全的發(fā)展是我國(guó)高科技產(chǎn)業(yè)的一部分，而且應(yīng)該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分，甚至應(yīng)該看到它對(duì)我國(guó)未來(lái)電子化、信息化的發(fā)展將起到非常重要的作用。網(wǎng)絡(luò)安全是一項(xiàng)動(dòng)態(tài)的、整體的系統(tǒng)工程

75、，我們致力于結(jié)合本國(guó)家的網(wǎng)絡(luò)特點(diǎn),制定妥善的網(wǎng)絡(luò)安全策略,將INTERNET的不安全性降至現(xiàn)有條件下的最低點(diǎn),讓它為我們的工作和現(xiàn)代化建設(shè)更好的服務(wù).</p><p><b>　　參 考 文 獻(xiàn)</b></p><p>　　[1] 教育部考試中心編 2011版 網(wǎng)絡(luò)技術(shù) 北京 高等教育出版社</p><p>　　[2] Andrew S.Ta

76、nenbaum 計(jì)算機(jī)網(wǎng)絡(luò) 第四版 北京清華大學(xué)出版社</p><p>　　[3] 遠(yuǎn)望圖書部 局域網(wǎng)一點(diǎn)通 人民交通出版社</p><p>　　[4] 李偉　 網(wǎng)絡(luò)安全實(shí)用技術(shù)標(biāo)準(zhǔn)教程 北京 清華大學(xué)出版社</p><p>　　[5] 褚建立、劉彥舫 　計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)　北京　清華大學(xué)出版社</p><p>　　[6] 黎連