淺論計算機(jī)網(wǎng)絡(luò)安全技術(shù)

1、編號：_ 商丘科技職業(yè)學(xué)院 畢業(yè)論文（設(shè)計） 題目： 談計算機(jī)網(wǎng)絡(luò)安全技術(shù) 系 別 ： 計算機(jī)科學(xué)系 專 業(yè) ： 計算機(jī)網(wǎng)絡(luò) 姓 名 ： 成 績 ： 指導(dǎo)教師 ： 2011 年 5 月 摘摘 要要 隨著計算機(jī)網(wǎng)絡(luò)越來越深入到人們生活中的各個方面，計算機(jī)網(wǎng)絡(luò)的安全 性也就變得越來越重要。計算機(jī)網(wǎng)絡(luò)的技術(shù)發(fā)展相當(dāng)迅速，攻擊手段層出不窮。 而計算機(jī)網(wǎng)絡(luò)攻擊一旦成功，就會使網(wǎng)絡(luò)上成千上萬的計算機(jī)處于癱瘓狀態(tài)， 從而給計算機(jī)用戶造成巨大的損失。因此，認(rèn)真研究當(dāng)今計算機(jī)網(wǎng)絡(luò)存在的安 全問題，提高計算機(jī)網(wǎng)絡(luò)安全防范意識是非常緊迫和必要的 。焦點(diǎn)分析了計算 機(jī)網(wǎng)絡(luò)安全的主要隱患及攻擊的主要方式，從管理和技術(shù)的

2、角度就加強(qiáng)計算機(jī) 網(wǎng)絡(luò)安全提出了針對性的建議。 【關(guān)鍵詞關(guān)鍵詞】：安全問題；相關(guān)技術(shù)；對策；安全；管理 目錄目錄 前前 言言.1 第一章第一章論述安全技術(shù)論述安全技術(shù).2 1 11 1 幾種計算機(jī)網(wǎng)絡(luò)安全問題幾種計算機(jī)網(wǎng)絡(luò)安全問題 .2 1 11 11 1 TCP/IPTCP/IP 協(xié)議的安全問題協(xié)議的安全問題.2 1 11 12 2 網(wǎng)絡(luò)結(jié)構(gòu)的安全問題網(wǎng)絡(luò)結(jié)構(gòu)的安全問題.3 1 11 13 3 路由器等網(wǎng)絡(luò)設(shè)備的安全問題路由器等網(wǎng)絡(luò)設(shè)備的安全問題.3 1 12 2 計算機(jī)網(wǎng)絡(luò)安全的相關(guān)技術(shù)計算機(jī)網(wǎng)絡(luò)安全的相關(guān)技術(shù) .4 1 12 21 1 防火墻技術(shù)防火墻技術(shù).4 1 12 22 2 數(shù)據(jù)加

3、密技術(shù)數(shù)據(jù)加密技術(shù).4 1 12 23 3 入侵檢測技術(shù)入侵檢測技術(shù).5 1 12 24 4 防病毒技術(shù)防病毒技術(shù).5 1 13 3 建議采取的幾種安全對策建議采取的幾種安全對策.6 1 13 31 1 網(wǎng)絡(luò)分段網(wǎng)絡(luò)分段.7 1 13 32 2 以交換式集線器以交換式集線器.7 1 13 33 3 VLANVLAN 的劃分的劃分.7 第二章第二章加強(qiáng)管理幾點(diǎn)思考加強(qiáng)管理幾點(diǎn)思考.9 2 21 1 計算機(jī)網(wǎng)絡(luò)安全的主要隱患計算機(jī)網(wǎng)絡(luò)安全的主要隱患.9 2 21 11 1 計算機(jī)網(wǎng)絡(luò)軟、硬件技術(shù)不夠完善計算機(jī)網(wǎng)絡(luò)軟、硬件技術(shù)不夠完善.9 2 21 12 2 計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)不夠健全計算機(jī)網(wǎng)絡(luò)安全

4、系統(tǒng)不夠健全.9 2 21 13 3 物理電磁輻射引起的信息泄漏物理電磁輻射引起的信息泄漏.9 2 21 14 4 網(wǎng)絡(luò)安全制度不夠健全網(wǎng)絡(luò)安全制度不夠健全.9 2 22 2 計算機(jī)網(wǎng)絡(luò)受攻擊的主要形式計算機(jī)網(wǎng)絡(luò)受攻擊的主要形式.9 2 22 21 1 計算機(jī)網(wǎng)絡(luò)被攻擊，主要有六種形式計算機(jī)網(wǎng)絡(luò)被攻擊，主要有六種形式.9 2 23 3 加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全的對策措施加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全的對策措施.10 2 23 31 1 加強(qiáng)網(wǎng)絡(luò)安全教育和管理加強(qiáng)網(wǎng)絡(luò)安全教育和管理.10 2 23 32 2 運(yùn)用網(wǎng)絡(luò)加密技術(shù)運(yùn)用網(wǎng)絡(luò)加密技術(shù).10 2 23 33 3 加強(qiáng)計算機(jī)網(wǎng)絡(luò)訪問控制加強(qiáng)計算機(jī)網(wǎng)絡(luò)訪問控制.

5、11 2 23 34 4 使用防火墻技術(shù)使用防火墻技術(shù).12 參考文獻(xiàn)參考文獻(xiàn).14 前前 言言 隨著經(jīng)濟(jì)全球化的發(fā)展。隨著計算機(jī)網(wǎng)絡(luò)越來越深入到人們生活中的各個方 面，計算機(jī)網(wǎng)絡(luò)的安全性也就變得越來越重要。計算機(jī)網(wǎng)絡(luò)的技術(shù)發(fā)展相當(dāng)迅 速，攻擊手段層出不窮。而計算機(jī)網(wǎng)絡(luò)攻擊一旦成功，就會使網(wǎng)絡(luò)上成千上萬 的計算機(jī)處于癱瘓狀態(tài)，從而給計算機(jī)用戶造成巨大的損失。因此，認(rèn)真研究 當(dāng)今計算機(jī)網(wǎng)絡(luò)存在的安全問題，提高計算機(jī)網(wǎng)絡(luò)安全防范意識是非常緊迫和 必要的 。焦點(diǎn)分析了計算機(jī)網(wǎng)絡(luò)安全的主要隱患及攻擊的主要方式，從管理和 技術(shù)的角度就加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全提出了針對性的建議。 人類生活領(lǐng)域中的廣泛應(yīng)用，針對

6、計算機(jī)網(wǎng)絡(luò)的攻擊事件也隨之增加。網(wǎng) 絡(luò)已經(jīng)無所不在的影響著社會的政治、經(jīng)濟(jì)、文化、軍事、意識形態(tài)和社會生 活等各個方面。同時在全球范圍內(nèi)，針對重要信息資源和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的入侵 行為和企圖入侵行為的數(shù)量仍在持續(xù)不斷增加，網(wǎng)絡(luò)攻擊與入侵行為對國家安 全、經(jīng)濟(jì)和社會生活造成了極大的威脅。計算機(jī)病毒不斷地通過網(wǎng)絡(luò)產(chǎn)生和傳 播，計算機(jī)網(wǎng)絡(luò)被不斷地非法入侵，重要情報、資料被竊取，甚至造成網(wǎng)絡(luò)系 統(tǒng)的癱瘓等等，諸如此類的事件已給政府及企業(yè)造成了巨大的損失，甚至危害 到國家的安全。網(wǎng)絡(luò)安全已成為世界各國當(dāng)今共同關(guān)注的焦點(diǎn)。 網(wǎng)絡(luò)安全的重要性是不言而喻的，因此，對漏洞的了解及防范也相對重要 起來。 第一章第一章

7、 論述安全技術(shù)論述安全技術(shù) 雖然計算機(jī)網(wǎng)絡(luò)給人們帶來了巨大的便利，但由于計算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形 式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受 黑客、惡意軟件和其他不軌的攻擊，所以網(wǎng)上信息的安全和保密是一個至關(guān)重 要的問題。加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，是關(guān)系到企業(yè)整體形象和利益的大問題。目前 在各企業(yè)的網(wǎng)絡(luò)中都存儲著大量的信息資料，許多方面的工作也越來越依賴網(wǎng) 絡(luò)，一旦網(wǎng)絡(luò)安全方面出現(xiàn)問題，造成信息的丟失或不能及時流通，或者被篡 改、增刪、破壞或竊用，都將帶來難以彌補(bǔ)的巨大損失。而對于政府等許多單 位來講，加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的意義甚至關(guān)系到國家的安全、利益和發(fā)展。 1 11 1幾種計算

8、機(jī)網(wǎng)絡(luò)安全問題幾種計算機(jī)網(wǎng)絡(luò)安全問題 1 11 11 1 TCP/IPTCP/IP 協(xié)議的安全問題協(xié)議的安全問題 目前網(wǎng)絡(luò)環(huán)境中廣泛采用的TCP/IP 協(xié)議?；ヂ?lián)網(wǎng)技術(shù)屏蔽了底層網(wǎng)絡(luò)硬件 細(xì)節(jié)，使得異種網(wǎng)絡(luò)之間可以互相通信，正因?yàn)槠溟_放性，TCP/IP 協(xié)議本身就 意味著一種安全風(fēng)險。由于大量重要的應(yīng)用程序都以TCP 作為它們的傳輸層協(xié) 議，因此TCP 的安全性問題會給網(wǎng)絡(luò)帶來嚴(yán)重的后果。 當(dāng)TCP/IP用于制造自動化環(huán)境的時候，安全易損性問題就顯得格外突出。 服務(wù)質(zhì)量和端對端可靠性是大多數(shù)制造自動化環(huán)境的最重要需求。TCP/IP協(xié)議 的可靠性受到多方面因素的影響（例如網(wǎng)絡(luò)負(fù)載），這對于網(wǎng)絡(luò)完

9、整性來說是 重要的潛在危險。通過分析基于TCP/IP制造自動化網(wǎng)絡(luò)中期待的通信，考慮機(jī) 構(gòu)的安全策略，就有可能設(shè)計出一個使數(shù)據(jù)惡化和被竊取的危險降至最低程度 的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在制造工廠和外部世界之間設(shè)置防火墻，在工廠內(nèi)部實(shí)現(xiàn)分 段網(wǎng)絡(luò)、訪問控制網(wǎng)絡(luò)就能夠提供網(wǎng)絡(luò)管理者，防御無意的或有敵意的破壞。 TCP/IP是一個四層的分層體系結(jié)構(gòu)。高層為傳輸控制協(xié)議，它負(fù)責(zé)聚集信 息或把文件拆分成更小的包。這些包通過網(wǎng)絡(luò)傳送到接收端的TCP層，接收端的 TCP層把包還原為原始文件。低層是網(wǎng)際協(xié)議，它處理每個包的地址部分，使這 些包正確的到達(dá)目的地。網(wǎng)絡(luò)上的網(wǎng)關(guān)計算機(jī)根據(jù)信息的地址來進(jìn)行路由選擇。 即使來自同

10、一文件的分包路由也有可能不同，但最后會在目的地匯合。 TCP/IP 使用客戶端/服務(wù)器模式進(jìn)行通信。TCP/IP通信是點(diǎn)對點(diǎn)的，意思是通信是網(wǎng)絡(luò) 中的一臺主機(jī)與另一臺主機(jī)之間的。TCP/IP與上層應(yīng)用程序之間可以說是“沒 有國籍的”，因?yàn)槊總€客戶請求都被看做是與上一個請求無關(guān)的。正是它們之 間的“無國籍的”釋放了網(wǎng)絡(luò)路徑，才是每個人都可以連續(xù)不斷的使用網(wǎng)絡(luò)。 許多用戶熟悉使用TCP/IP協(xié)議的高層應(yīng)用協(xié)議。包括萬維網(wǎng)的超文本傳輸協(xié)議 （HTTP），文件傳輸協(xié)議（FTP），遠(yuǎn)程網(wǎng)絡(luò)訪問協(xié)議(Telnet)和簡單郵件傳輸 協(xié)議（SMTP）。這些協(xié)議通常和TCP/IP協(xié)議打包在一起。 使用模擬電話調(diào)

11、制解 調(diào)器連接網(wǎng)絡(luò)的個人電腦通常是使用串行線路接口協(xié)議（SLIP）和點(diǎn)對點(diǎn)協(xié)議 （P2P）。這些協(xié)議壓縮IP包后通過撥號電話線發(fā)送到對方的調(diào)制解調(diào)器中。 與TCP/IP協(xié)議相關(guān)的協(xié)議還包括用戶數(shù)據(jù)包協(xié)議（UDP），它代替TCP/IP協(xié)議來 達(dá)到特殊的目的。其他協(xié)議是網(wǎng)絡(luò)主機(jī)用來交換路由信息的，包括Internet控 制信息協(xié)議（ICMP），內(nèi)部網(wǎng)關(guān)協(xié)議（IGP），外部網(wǎng)關(guān)協(xié)議（EGP），邊界網(wǎng) 關(guān)協(xié)議（BGP）。 TCP/IP原理與應(yīng)用書籍推薦 1 11 12 2 網(wǎng)絡(luò)結(jié)構(gòu)的安全問題網(wǎng)絡(luò)結(jié)構(gòu)的安全問題 互聯(lián)網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無數(shù)個局域網(wǎng)連成的巨大網(wǎng)絡(luò)組成。當(dāng) 人們用一臺主機(jī)和另一局域網(wǎng)

12、的主機(jī)進(jìn)行通信時，通常情況下它們之間互相傳 送的數(shù)據(jù)流要經(jīng)過很多機(jī)器的重重轉(zhuǎn)發(fā)，任何兩個節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不 僅為這兩個節(jié)點(diǎn)的網(wǎng)卡所接收，也同時為處在同一以太網(wǎng)上的任何一個節(jié)點(diǎn)的 網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵測，就可以捕獲 發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進(jìn)行解包分析，從而竊取關(guān)鍵信息。 加之互聯(lián)網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有進(jìn)行加密，因此黑客利用工具很容易對網(wǎng)上 的電子郵件、口令和傳輸?shù)奈募M(jìn)行破解，這就是互聯(lián)網(wǎng)所固有的安全隱患。 1 11 13 3 路由器等網(wǎng)絡(luò)設(shè)備的安全問題路由器等網(wǎng)絡(luò)設(shè)備的安全問題 路由器的主要功能是數(shù)據(jù)通道功能和控制功能。路由器作為內(nèi)部網(wǎng)絡(luò)與

13、外 部網(wǎng)絡(luò)之間通信的關(guān)鍵設(shè)備，嚴(yán)格說來，所有的網(wǎng)絡(luò)攻擊都要經(jīng)過路由器，但 有些典型的攻擊方式就是利用路由器本身的設(shè)計缺陷展開的，而有些方式干脆 就是在路由器上進(jìn)行的。 1 12 2計算機(jī)網(wǎng)絡(luò)安全的相關(guān)技術(shù)計算機(jī)網(wǎng)絡(luò)安全的相關(guān)技術(shù) 計算機(jī)網(wǎng)絡(luò)安全的實(shí)現(xiàn)有賴于各種網(wǎng)絡(luò)安全技術(shù)。從技術(shù)上來說，網(wǎng)絡(luò)安 全由安全的操作系統(tǒng)、安全的應(yīng)用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡(luò)監(jiān) 控、信息審計、通信加密、災(zāi)難恢復(fù)、安全掃描等多個安全組件組成，一個單 獨(dú)的組件無法確保信息網(wǎng)絡(luò)的安全性。目前成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火 墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測技術(shù)、防病毒技術(shù)等。 1 12 21 1防火墻技術(shù)防火墻技術(shù) 防

14、火墻是一個系統(tǒng)或一組系統(tǒng)，在內(nèi)部網(wǎng)與因特網(wǎng)間執(zhí)行一定的安全策略， 它實(shí)際上是一種隔離技術(shù)。 一個有效的防火墻應(yīng)該能夠確保所有從因特網(wǎng)流入或流向因特網(wǎng)的信息都 將經(jīng)過防火墻，所有流經(jīng)防火墻的信息都應(yīng)接受檢查。通過防火墻可以定義一 個關(guān)鍵點(diǎn)以防止外來入侵；監(jiān)控網(wǎng)絡(luò)的安全并在異常情況下給出報警提示，尤 其對于重大的信息量通過時除進(jìn)行檢查外，還應(yīng)做日志登記；提供網(wǎng)絡(luò)地址轉(zhuǎn) 換功能，有助于緩解 IP 地址資源緊張的問題，同時，可以避免當(dāng)一個內(nèi)部網(wǎng)更 換 ISP 時需重新編號的麻煩；防火墻是為客戶提供服務(wù)的理想位置，即在其上 可以配置相應(yīng)的 WWW 和 FTP 服務(wù)等。 現(xiàn)有的防火墻主要有：包過濾型、代理

15、服務(wù)器型、復(fù)合型以及其他類型 （雙宿主主機(jī)、主機(jī)過濾以及加密路由器）防火墻。 包過濾（Packet Fliter）通常安裝在路由器上，而且大多數(shù)商用路由器都 提供了包過濾的功能。包過濾規(guī)則以 IP 包信息為基礎(chǔ)，對 IP 源地址、目標(biāo)地 址、協(xié)議類型、端口號等進(jìn)行篩選。包過濾在網(wǎng)絡(luò)層進(jìn)行。 代理服務(wù)器型（Proxy Service）防火墻通常由兩部分構(gòu)成，服務(wù)器端程序 和客戶端程序?？蛻舳顺绦蚺c中間節(jié)點(diǎn)連接，中間節(jié)點(diǎn)再與提供服務(wù)的服務(wù)器 實(shí)際連接。 復(fù)合型（Hybfid）防火墻將包過濾和代理服務(wù)兩種方法結(jié)合起來，形成新 的防火墻，由堡壘主機(jī)提供代理服務(wù)。 各類防火墻路由器和各種主機(jī)按其配置和功

16、能可組成各種類型的防火墻， 主要有：雙宿主主機(jī)防火墻，它是由堡壘主機(jī)充當(dāng)網(wǎng)關(guān)，并在其上運(yùn)行防火墻 軟件，內(nèi)外網(wǎng)之間的通信必須經(jīng)過堡壘主機(jī)；主機(jī)過濾防火墻是指一個包過濾 路由器與外部網(wǎng)相連，同時，一個堡壘主機(jī)安裝在內(nèi)部網(wǎng)上，使堡壘主機(jī)成為 外部網(wǎng)所能到達(dá)的惟一節(jié)點(diǎn)，從而確保內(nèi)部網(wǎng)不受外部非授權(quán)用戶的攻擊；加 密路由器對通過路由器的信息流進(jìn)行加密和壓縮，然后通過外部網(wǎng)絡(luò)傳輸?shù)侥?的端進(jìn)行解壓縮和解密。 所謂“防火墻”則是綜合采用適當(dāng)技術(shù)在被保護(hù)網(wǎng)絡(luò)周邊建立的用于分隔 被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的系統(tǒng)?！胺阑饓Α币环矫孀柚雇饨鐚?nèi)部網(wǎng)絡(luò)資源的 非法訪問，另一方面也可以防止系統(tǒng)內(nèi)部對外部系統(tǒng)的不安全訪問。實(shí)

17、現(xiàn)防火 墻的主要技術(shù)有：數(shù)據(jù)包過濾、應(yīng)用級網(wǎng)關(guān)、代理服務(wù)和地址轉(zhuǎn)換。 1 12 22 2 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù) 從密碼體制方面而言，加密技術(shù)可分為對稱密鑰密碼體制和非對稱密鑰密 碼體制，對稱密鑰密碼技術(shù)要求加密、解密雙方擁有相同的密鑰，由于加密和 解密使用同樣的密鑰，所以加密方和解密方需要進(jìn)行會話密鑰的密鑰交換。會 話密鑰的密鑰交換通常采用數(shù)字信封方式，即將會話密鑰用解密方的公鑰加密 傳給解密方，解密方再用自己的私鑰將會話密鑰還原。對稱密鑰密碼技術(shù)的應(yīng) 用在于數(shù)據(jù)加密非對稱密鑰密碼技術(shù)是加密、解密雙方擁有不同的密鑰，在不 知道特定信息的情況下，加密密鑰和解密密鑰在計算機(jī)上是不能相互算出的。

18、 加密、解密雙方各只有一對私鑰和公鑰。非對稱密鑰密碼技術(shù)的應(yīng)用比較廣泛， 可以進(jìn)行數(shù)據(jù)加密、身份鑒別、訪問控制、數(shù)字簽名、數(shù)據(jù)完整性驗(yàn)證、版權(quán) 保護(hù)等。 在傳統(tǒng)上，我們有幾種方法來加密數(shù)據(jù)流。所有這些方法都可以用軟件很 容易的實(shí)現(xiàn)，但是當(dāng)我們只知道密文的時候，是不容易破譯這些加密算法的 （當(dāng)同時有原文和密文時，破譯加密算法雖然也不是很容易，但已經(jīng)是可能的 了） 。最好的加密算法對系統(tǒng)性能幾乎沒有影響，并且還可以帶來其他內(nèi)在的優(yōu) 點(diǎn)。例如，大家都知道的pkzip，它既壓縮數(shù)據(jù)又加密數(shù)據(jù)。又如，dbms的一些 軟件包總是包含一些加密方法以使復(fù)制文件這一功能對一些敏感數(shù)據(jù)是無效的， 或者需要用戶的密

19、碼。所有這些加密算法都要有高效的加密和解密能力。 幸運(yùn)的是，在所有的加密算法中最簡單的一種就是“置換表”算法，這種 算法也能很好達(dá)到加密的需要。每一個數(shù)據(jù)段（總是一個字節(jié)）對應(yīng)著“置換 表”中的一個偏移量，偏移量所對應(yīng)的值就輸出成為加密后的文件。加密程序 和解密程序都需要一個這樣的“置換表”。事實(shí)上，80 x86 cpu系列就有一個指 令xlat在硬件級來完成這樣的工作。這種加密算法比較簡單，加密解密速 度都很快，但是一旦這個“置換表”被對方獲得，那這個加密方案就完全被識 破了。更進(jìn)一步講，這種加密算法對于黑客破譯來講是相當(dāng)直接的，只要找到 一個“置換表”就可以了。這種方法在計算機(jī)出現(xiàn)之前就已

20、經(jīng)被廣泛的使用。 在一些情況下，我們想能夠知道數(shù)據(jù)是否已經(jīng)被篡改了或被破壞了，這時 就需要產(chǎn)生一些校驗(yàn)碼，并且把這些校驗(yàn)碼插入到數(shù)據(jù)流中。這樣做對數(shù)據(jù)的 防偽與程序本身都是有好處的。但是感染計算機(jī)程序的病毒才不會在意這些數(shù) 據(jù)或程序是否加過密，是否有數(shù)字簽名。所以，加密程序在每次load到內(nèi)存要 開始執(zhí)行時，都要檢查一下本身是否被病毒感染，對與需要加、解密的文件都 要做這種檢查！很自然，這樣一種方法體制應(yīng)該保密的，因?yàn)椴《境绦虻木帉?者將會利用這些來破壞別人的程序或數(shù)據(jù)。因此，在一些反病毒或殺病毒軟件 中一定要使用加密技術(shù)。 1 12 23 3 入侵檢測技術(shù)入侵檢測技術(shù) 入侵檢測系統(tǒng)可以分為兩

21、類，分別基于網(wǎng)絡(luò)和基于主機(jī)。基于網(wǎng)絡(luò)的入侵 檢測系統(tǒng)主要采用被動方法收集網(wǎng)絡(luò)上的數(shù)據(jù)。目前，在實(shí)際環(huán)境中應(yīng)用較多 的是基于主機(jī)的入侵檢測系統(tǒng)，它把監(jiān)測器以軟件模塊的形式直接安插在了受 管服務(wù)器的內(nèi)部，它除了繼續(xù)保持基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的功能和優(yōu)點(diǎn)外， 可以不受網(wǎng)絡(luò)協(xié)議、速率和加密的影響，直接針對主機(jī)和內(nèi)部的信息系統(tǒng)，同 時還具有基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)所不具備的檢查特洛伊木馬、監(jiān)視特定用戶、 監(jiān)視與誤操作相關(guān)的行為變化等功能。 1 12 24 4 防病毒技術(shù)防病毒技術(shù) 隨著計算機(jī)技術(shù)的不斷發(fā)展，計算機(jī)病毒變得越來越復(fù)雜和高級，其擴(kuò)散 速度也越來越快，對計算機(jī)網(wǎng)絡(luò)系統(tǒng)構(gòu)成極大的威脅。在病毒防范中

22、普遍使用 的防病毒軟件，從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類。 單機(jī)防病毒軟件一般安裝在單臺PC 上，它們主要注重于所謂的“單機(jī)防病毒”， 即對本地和本工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測、清除病毒。網(wǎng) 絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資 源感染，網(wǎng)絡(luò)防病毒軟件會立刻檢測到并加以刪除。 計算機(jī)網(wǎng)絡(luò)病毒的防治，單純依靠技術(shù)手段是不可能十分有效地杜絕和防 止其蔓延的，只有把技術(shù)手段和治理機(jī)制緊密結(jié)合起來，提高人們的防范意識， 才 有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。目前在網(wǎng)絡(luò)病毒防治技術(shù)方面， 基本處于被動防御的地位，但治理上應(yīng)該積極主動。

23、應(yīng)從硬件設(shè)備及軟件系統(tǒng) 的使用、維護(hù)、治理、服務(wù)等各個環(huán)節(jié)制定出嚴(yán)格的規(guī)章制度、對網(wǎng)絡(luò)系統(tǒng)的 治理員及用戶加強(qiáng)法制教育和職業(yè)道德教育，規(guī)范工作程序和操作規(guī)程，嚴(yán)懲 從事非法活動的集體和個人。盡可能采用行之有效的新技術(shù)、新手段，建立” 防殺結(jié)合、以防為主、以殺為輔、軟硬互補(bǔ)、標(biāo)本兼治”的最佳網(wǎng)絡(luò)病毒安全 模式。必須采取有效的治理措施和技術(shù)手段，防止病毒的感染和破壞，力爭將 損失降到最小。 計算機(jī)病毒在形式上越來越難以辨別，造成的危害也日益嚴(yán)重，這就要求 網(wǎng)絡(luò)防毒產(chǎn)品在技術(shù)上更先進(jìn)，功能上更全面。從目前病毒的演化趨勢來看， 網(wǎng)絡(luò)防病毒產(chǎn)品的發(fā)展趨勢主要體現(xiàn)在以下幾個方面：一是反黑與殺毒相結(jié)合； 二

24、是從入口攔截病毒；三是提供全面解決方案；四是客戶化定制模式；五是防 病毒產(chǎn)品技術(shù)由區(qū)域化向國際化轉(zhuǎn)變。 隨著計算機(jī)網(wǎng)絡(luò)、數(shù)字技術(shù)及互聯(lián)網(wǎng)技術(shù)的發(fā)展，計算機(jī)病毒的危害更是 與日俱增。因此，加強(qiáng)計算機(jī)病毒的防治、確保計算機(jī)信息安全是當(dāng)前計算機(jī) 應(yīng)用過程中的一項(xiàng)重要、迫切的研究課題。我們一方面要把握對現(xiàn)在的計算機(jī) 病毒的防范措施，切實(shí)抓好病毒防治工作；另一方面要加強(qiáng)對未來病毒發(fā)展趨 勢的研究，探討新時期科學(xué)防治計算機(jī)病毒的新策略，真正做到防患于未然。 防病毒技術(shù)示意圖 1 13 3 建議采取的幾種安全對策建議采取的幾種安全對策 1 13 31 1 網(wǎng)絡(luò)分段網(wǎng)絡(luò)分段 網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)

25、暴的一種基本手段，但其實(shí)也是保 證網(wǎng)絡(luò)安全的一項(xiàng)重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔 離，從而防止可能的非法偵聽。 1 13 32 2 以交換式集線器以交換式集線器 代替共享式集線器對局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的 危險仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中 心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與 主機(jī)進(jìn)行數(shù)據(jù)通信時，兩臺機(jī)器之間的數(shù)據(jù)包還是會被同一臺集線器上的其他 用戶所偵聽，所以應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個 節(jié)點(diǎn)之間傳送，從而防止非法偵聽。 1 13 33 3 VLANVLAN的

26、劃分的劃分 為了克服以太網(wǎng)的廣播問題，除了上述方法外，還可以運(yùn)用VLAN技術(shù)，將 以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)偵聽的入侵。在集中式網(wǎng)絡(luò) 環(huán)境下，通常將中心的所有主機(jī)系統(tǒng)集中到一個VLAN里，在這個VLAN 里不允許 有任何用戶節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下，可 以按機(jī)構(gòu)或部門的設(shè)置來劃分VLAN。各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在 各自的VLAN 內(nèi)，互不侵?jǐn)_。VLAN 內(nèi)部的連接采用交換實(shí)現(xiàn)，而VLAN 與VLAN 之間的連接則采用路由實(shí)現(xiàn)。當(dāng)然，計算機(jī)網(wǎng)絡(luò)安全不是僅有很好的網(wǎng)絡(luò)安全 設(shè)計方案就萬事大吉，還必須要有很好的網(wǎng)絡(luò)安全的組織結(jié)構(gòu)和管理制度來

27、保 證。要通過組建完整的安全保密管理組織機(jī)構(gòu)，制定嚴(yán)格的安全制度，指定安 全管理人員，隨時對整個計算機(jī)系統(tǒng)進(jìn)行嚴(yán)格的監(jiān)控和管理。 (1) 基于端口劃分的 VLAN.這種劃分 VLAN 的方法是根據(jù)以太網(wǎng)交換機(jī)的端， 口來劃分，比如 Quidway S3526 的 14 端口為 VLAN 10，517 為 VLAN 20，1824 為 VLAN 30，當(dāng)然，這些屬于同一 VLAN 的端口可以不連續(xù)，如何配 置，由管理員決定，如果有多個交換機(jī)，例如，可以指定交換機(jī) 1 的 16 端口 和交換機(jī) 2 的 14 端口為同一 VLAN，即同一 VLAN 可以跨越數(shù)個以太網(wǎng)交換機(jī)， 根據(jù)端口劃分是目前定義

28、 VLAN 的最廣泛的方法，IEEE 802.1Q 規(guī)定了依據(jù)以太 網(wǎng)交換機(jī)的端口來劃分 VLAN 的國際標(biāo)準(zhǔn)。 這種劃分的方法的優(yōu)點(diǎn)是定義 VLAN 成員時非常簡單，只要將所有的端口都 指定義一下就可以了。它的缺點(diǎn)是如果 VLAN A 的用戶離開了原來的端口，到了 一個新的交換機(jī)的某個端口，那么就必須重新定義。 （2）基于 MAC 地址劃分 VLAN 這種劃分 VLAN 的方法是根據(jù)每個主機(jī)的 MAC 地 址來劃分，即對每個 MAC 地址的主機(jī)都配置他屬于哪個組。這種劃分 VLAN 的方 法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動時，即從一個交換機(jī)換到其他的交換機(jī) 時，VLAN 不用重新配置，所以，

29、可以認(rèn)為這種根據(jù) MAC 地址的劃分方法是基于 用戶的 VLAN，這種方法的缺點(diǎn)是初始化時，所有的用戶都必須進(jìn)行配置，如果 有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致 了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€交換機(jī)的端口都可能存在很多個 VLAN 組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的用戶來說， 他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN 就必須不停的配置。 （3）基于網(wǎng)絡(luò)層劃分 VLAN 這種劃分 VLAN 的方法是根據(jù)每個主機(jī)的網(wǎng)絡(luò) 層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地 址，比如 IP 地址，但它不是路由，與網(wǎng)絡(luò)層的

30、路由毫無關(guān)系。它雖然查看每個 數(shù)據(jù)包的 IP 地址，但由于不是路由，所以，沒有 RIP，OSPF 等路由協(xié)議，而是 根據(jù)生成樹算法進(jìn)行橋交換。 這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的 VLAN， 而且可以根據(jù)協(xié)議類型來劃分 VLAN，這對網(wǎng)絡(luò)管理者來說很重要，還有，這種 方法不需要附加的幀標(biāo)簽來識別 VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。 這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處 理時間的(相對于前面兩種方法)，一般的交換機(jī)芯片都可以自動檢查網(wǎng)絡(luò)上數(shù) 據(jù)包的以太網(wǎng)禎頭，但要讓芯片能檢查 IP 幀頭，需要更高的技術(shù)，同時也更費(fèi) 時。當(dāng)然，這與各個廠商

31、的實(shí)現(xiàn)方法有關(guān)。 VLAN 技術(shù)劃分示意圖 第二章第二章 加強(qiáng)管理幾點(diǎn)思考加強(qiáng)管理幾點(diǎn)思考 2 21 1 計算機(jī)網(wǎng)絡(luò)安全的主要隱患計算機(jī)網(wǎng)絡(luò)安全的主要隱患 2 21 11 1 計算機(jī)網(wǎng)絡(luò)軟、硬件技術(shù)不夠完善計算機(jī)網(wǎng)絡(luò)軟、硬件技術(shù)不夠完善 由于人類認(rèn)識能力和技術(shù)發(fā)展的局限性，在設(shè)計硬件和軟件的過程中，難 免會留下種種技術(shù)缺陷，由此造成信息安全隱患。如 Internet 作為全球使用 范圍最廣的信息網(wǎng)，自身協(xié)議的開放性雖極大地方便了各種計算機(jī)入網(wǎng)，拓寬 了共享資源，但 TCP/ IP 協(xié)議在開始制定時沒有考慮通信路徑的安全性，缺乏 通信協(xié)議的基本安全機(jī)制，沒有加密、身份認(rèn)證等功能，在發(fā)送信息時常包

32、含 源地址、目標(biāo)地址和端口號等信息。由此導(dǎo)致了網(wǎng)絡(luò)上的遠(yuǎn)程用戶讀寫系統(tǒng)文 件、執(zhí)行根和非根擁有的文件通過網(wǎng)絡(luò)進(jìn)行傳送時產(chǎn)生了安全漏洞。 2 21 12 2 計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)不夠健全計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)不夠健全 計算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)部的安全威脅包括以下幾個方面：計算機(jī)系統(tǒng)及通信 線路的脆弱性。系統(tǒng)軟硬件設(shè)計、配置及使用不當(dāng)。人為因素造成的安全 泄漏，如網(wǎng)絡(luò)機(jī)房的管理人員不慎將操作口令泄漏，有意或無意地泄密、更改 網(wǎng)絡(luò)配置和記錄信息，磁盤上的機(jī)密文件被人利用，臨時文件未及時刪除而被 竊取，等等。 2 21 13 3 物理電磁輻射引起的信息泄漏物理電磁輻射引起的信息泄漏 計算機(jī)附屬電子設(shè)備在工作時能經(jīng)過

33、地線、電源線、信號線將電磁信號或 諧波等輻射出去，產(chǎn)生電磁輻射。電磁輻射物能夠破壞網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，這 種輻射的來源主要有兩個方面，一是網(wǎng)絡(luò)周圍電子設(shè)備產(chǎn)生的電磁輻射和試圖 破壞數(shù)據(jù)傳輸而預(yù)謀的干擾輻射源；二是網(wǎng)絡(luò)的終端、打印機(jī)或其他電子設(shè)備 在工作時產(chǎn)生的電磁輻射泄漏。這些電磁信號在近處或者遠(yuǎn)處都可以被接收下 來，經(jīng)過提取處理，重新恢復(fù)出原信息，造成信息泄漏。 2 21 14 4 網(wǎng)絡(luò)安全制度不夠健全網(wǎng)絡(luò)安全制度不夠健全 網(wǎng)絡(luò)內(nèi)部的安全需要用完備的安全制度來保障，管理的失敗是網(wǎng)絡(luò)系統(tǒng)安 全體系失敗的非常重要的原因。網(wǎng)絡(luò)管理員配置不當(dāng)或者網(wǎng)絡(luò)應(yīng)用升級不及時 造成的安全漏洞、使用脆弱的用戶口令、

34、隨意使用普通網(wǎng)絡(luò)站點(diǎn)下載的軟件、 在防火墻內(nèi)部架設(shè)撥號服務(wù)器卻沒有對賬號認(rèn)證等嚴(yán)格限制、用戶安全意識不 強(qiáng)、將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等，都會使網(wǎng)絡(luò)處于危險之中。 2 22 2 計算機(jī)網(wǎng)絡(luò)受攻擊的主要形式計算機(jī)網(wǎng)絡(luò)受攻擊的主要形式 2 22 21 1 計算機(jī)網(wǎng)絡(luò)被攻擊，主要有六種形式計算機(jī)網(wǎng)絡(luò)被攻擊，主要有六種形式 內(nèi)部竊密和破壞。內(nèi)部人員有意或無意的泄密、更改記錄信息或者破壞 網(wǎng)絡(luò)系統(tǒng)。截收信息。攻擊者可能通過搭線或在電磁輻射的范圍內(nèi)安裝截收 裝置等方式，截獲機(jī)密信息，或通過對信息流和流向、通信頻度和長度等參數(shù) 的分析，推出有用的信息。它不破壞傳輸信息的內(nèi)容，所以不易察覺。非法 訪

35、問。指未經(jīng)授權(quán)使用網(wǎng)絡(luò)資源或以未授權(quán)的方式使用網(wǎng)絡(luò)資源，主要包括非 法用戶進(jìn)入網(wǎng)絡(luò)或系統(tǒng)進(jìn)行違法操作和合法用戶以未授權(quán)的方式進(jìn)行操作。 TCP/IP 協(xié)議上的某些不安全因素。目前廣泛使用 TCP/IP 協(xié)議存在安全漏洞。 如 IP 層協(xié)議就有許多安全缺陷。IP 地址可以軟件設(shè)置，造成地址假冒和地址 欺騙兩類安全隱患；IP 協(xié)議支持源路由方式，即源點(diǎn)可以指定信息包傳送到目 的節(jié)點(diǎn)的中間路由，這就提供了源路由攻擊的條件。病毒破壞。網(wǎng)絡(luò)病毒主 要是通過一些應(yīng)用服務(wù)器來傳播的病毒，擁擠了有限的網(wǎng)絡(luò)帶寬，可能導(dǎo)致網(wǎng) 絡(luò)癱瘓。病毒還可能破壞群組服務(wù)器，讓這些服務(wù)器充斥大量垃圾，導(dǎo)致數(shù)據(jù) 性能降低。其它網(wǎng)絡(luò)

36、攻擊方式。攻擊者可能破壞網(wǎng)絡(luò)系統(tǒng)的可用性，使合法 用戶不能正常訪問網(wǎng)絡(luò)資源，拒絕服務(wù)甚至摧毀系統(tǒng)，破壞系統(tǒng)信息的完整性， 還可能冒充主機(jī)欺騙合法用戶，欺騙系統(tǒng)占用資源，等等。 2 23 3 加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全的對策措施加強(qiáng)計算機(jī)網(wǎng)絡(luò)安全的對策措施 2 23 31 1 加強(qiáng)網(wǎng)絡(luò)安全教育和管理加強(qiáng)網(wǎng)絡(luò)安全教育和管理 隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和普及，計算機(jī)網(wǎng)絡(luò)正以越來越快的速度進(jìn)入校 園、家庭，來到中小學(xué)生身邊，日漸成為中小學(xué)生獲取信息、學(xué)習(xí)知識、休閑 娛樂的重要工具。特別是隨著校園網(wǎng)絡(luò)的廣泛建設(shè)、信息技術(shù)課程的開設(shè)以及 校園外INTERNET網(wǎng)的開通，中小學(xué)生上網(wǎng)的人數(shù)越來越多。 據(jù)統(tǒng)計，目前我國各

37、類網(wǎng)站已有15000多個，網(wǎng)民近2000萬，其中，學(xué)生占 上網(wǎng)總?cè)藬?shù)的20%。那么，學(xué)生上網(wǎng)又是做什么呢？2000年4月1日北京青年報 在中學(xué)生網(wǎng)上生活有滋有味一文中的調(diào)查表明，中小學(xué)生上網(wǎng)60.7%的人數(shù) 在玩游戲，34.1%的人找朋友聊天，20.1%的人關(guān)注影視文藝動態(tài)，27.9%的人關(guān) 注體壇動態(tài)，27.5%的人看新聞，24.3%的發(fā)E-mail，18.6%的人選擇軟件，5.7% 的關(guān)注衛(wèi)生保健信息。可見，目前中小學(xué)生上網(wǎng)的主要目的是游戲、娛樂和交 友。而且，由此引發(fā)了一系列的負(fù)面影響，不能不引起我們的思考。 對工作人員結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個方面安全問題，進(jìn) 行安全教育，

38、提高工作人員的保密觀念和責(zé)任心；加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn)，提 高操作技能；教育工作人員嚴(yán)格遵守操作規(guī)程和各項(xiàng)保密規(guī)定，防止人為事故 的發(fā)生。同時，要保護(hù)傳輸線路安全。對于傳輸線路，應(yīng)有露天保護(hù)措施或埋 于地下，并要求遠(yuǎn)離各種輻射源，以減少各種輻射引起的數(shù)據(jù)錯誤；電纜鋪設(shè) 應(yīng)當(dāng)使用金屬導(dǎo)管，以減少各種輻射引起的電磁泄漏和對發(fā)送線路的干擾。對 連接要定期檢查，以檢測是否有搭線竊聽、外連或破壞行為。 2 23 32 2 運(yùn)用網(wǎng)絡(luò)加密技術(shù)運(yùn)用網(wǎng)絡(luò)加密技術(shù) 隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全已成為信息化社會的一個焦點(diǎn)問題，因此需要 一種網(wǎng)絡(luò)安全機(jī)制來解決這些問題。在早期，很多的專業(yè)計算機(jī)人員就通過對 網(wǎng)絡(luò)安全構(gòu)成威脅

39、的主要因素的研究，已經(jīng)開發(fā)了很多種類的產(chǎn)品。但縱觀所 有的網(wǎng)絡(luò)安全技術(shù)，我們不難發(fā)現(xiàn)加密技術(shù)在扮演著主打角色。它無處不在， 作為其他技術(shù)的基礎(chǔ)，它發(fā)揮了重要的作用。本論文講述了加密技術(shù)的發(fā)展， 兩種密鑰體制（常規(guī)密鑰密碼體制和公開密鑰密碼體制） ，以及密鑰的管理(主 要討論密鑰分配） 。我們可以在加密技術(shù)的特點(diǎn)中看到他的發(fā)展前景，為網(wǎng)絡(luò)提 供更可靠更安全的運(yùn)行環(huán)境。 網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng) 上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種：鏈接加密。在網(wǎng)絡(luò)節(jié)點(diǎn)間加密， 在節(jié)點(diǎn)間傳輸加密的信息，傳送到節(jié)點(diǎn)后解密，不同節(jié)點(diǎn)間用不同的密碼。 節(jié)點(diǎn)加密。與鏈接加密類似，不

40、同的只是當(dāng)數(shù)據(jù)在節(jié)點(diǎn)間傳送時，不用明碼格 式傳送，而是用特殊的加密硬件進(jìn)行解密和重加密，這種專用硬件通常放置在 安全保險箱中。首尾加密。對進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)加密，然后待數(shù)據(jù)從網(wǎng)絡(luò)傳送 出后再進(jìn)行解密。網(wǎng)絡(luò)的加密技術(shù)很多，在實(shí)際應(yīng)用中，人們通常根據(jù)各種加 密算法結(jié)合在一起使用，這樣可以更加有效地加強(qiáng)網(wǎng)絡(luò)的完全性。網(wǎng)絡(luò)加密技 術(shù)也是網(wǎng)絡(luò)安全最有效的技術(shù)之一。既可以對付惡意軟件攻擊，又可以防止非 授權(quán)用戶的訪問。 因?yàn)橥ㄐ诺碾p方在加密和解密時使用的是同一個密鑰，所以如果其他人獲 取到這個密鑰，那么就會造成失密。只要通信雙方能確保密鑰在交換階段未泄 露，那么就可以保證信息的機(jī)密性與完整性。對稱加密技術(shù)存在

41、著通信雙方之 間確保密鑰安全交換的問題。同時，一個用戶要N個其他用戶進(jìn)行加密通信時， 每個用戶對應(yīng)一把密鑰，那么他就要管理N把密鑰。當(dāng)網(wǎng)絡(luò)N個用戶之間進(jìn)行加 密通信時，則需要有N(N-1)個密鑰，才能保證任意兩者之間的通信。所以， 要確保對稱加密體系的安全，就好要管理好密鑰的產(chǎn)生，分配，存儲，和更換。 常規(guī)密碼體制早期有替代密碼和置換密碼這二種方式。下面我們將講述一個著 名的分組密碼美國的數(shù)據(jù)加密標(biāo)準(zhǔn)DES。DES是一種對二元數(shù)據(jù)進(jìn)行加密的 算法，數(shù)據(jù)分組長度為64位，密文分組長度也是64位，使用的密鑰為64位，有 效密鑰長度為56位，有8位用于奇偶校驗(yàn)，解密時的過程和加密時相似，但密鑰 的順

42、序正好相反。DES算法的弱點(diǎn)是不能提供足夠的安全性，因?yàn)槠涿荑€容量只 有56位。由于這個原因，后來又提出了三重DES或3DES系統(tǒng)，使用3個不同的密 鑰對數(shù)據(jù)塊進(jìn)行(兩次或)三次加密，該方法比進(jìn)行普通加密的三次塊。其強(qiáng)度 大約和112比特的密鑰強(qiáng)度相當(dāng)。 加密原理示意圖 2 23 33 3 加強(qiáng)計算機(jī)網(wǎng)絡(luò)訪問控制加強(qiáng)計算機(jī)網(wǎng)絡(luò)訪問控制 訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資 源不被非法使用和非常訪問，也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手 段。訪問控制技術(shù)主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級安全控制、 屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測和鎖定控制、

43、網(wǎng)絡(luò)端口和節(jié)點(diǎn) 的安全控制。根據(jù)網(wǎng)絡(luò)安全的等級、網(wǎng)絡(luò)空間的環(huán)境不同，可靈活地設(shè)置訪問 控制的種類和數(shù)量。 計算機(jī)網(wǎng)絡(luò)控制系統(tǒng)是在自動控制技術(shù)和計算機(jī)技術(shù)發(fā)展的基礎(chǔ)上產(chǎn)生的。 若將自動控制系統(tǒng)中的控制器的功能用計算機(jī)來實(shí)現(xiàn)，就組成了典型的計算機(jī) 控制系統(tǒng)。它用計算機(jī)參與控制并借助一些輔助部件與被控對象相聯(lián)系，以獲 得一定控制目的而構(gòu)成的系統(tǒng)。其中輔助部件主要指輸入輸出接口、檢測裝置 和執(zhí)行裝置等。它與被控對象的聯(lián)系和部件間的聯(lián)系通常有兩種方式：有線方 式、無線方式。控制目的可以是使被控對象的狀態(tài)或運(yùn)動過程達(dá)到某種要求， 也可以是達(dá)到某種最優(yōu)化目標(biāo) 研究和發(fā)展智能網(wǎng)絡(luò)控制系統(tǒng) 智能控制是一類無需人

44、的干預(yù)就能夠自主地 驅(qū)動智能機(jī)器實(shí)現(xiàn)其目標(biāo)的過程，是用機(jī)器模擬人類智能的一個重要領(lǐng)域。智 能控制包括學(xué)習(xí)控制系統(tǒng)、分級遞階智能控制系統(tǒng)、專家系統(tǒng)、模糊控制系統(tǒng) 和神經(jīng)網(wǎng)絡(luò)控制系統(tǒng)等。應(yīng)用智能控制技術(shù)和自動控制理論來實(shí)現(xiàn)的先進(jìn)的計 算機(jī)控制系統(tǒng)，將有力地推動科學(xué)技術(shù)進(jìn)步，并提高工業(yè)生產(chǎn)系統(tǒng)的自動化水 平。計算機(jī)技術(shù)的發(fā)展加快了智能控制方法的研究。智能控制方法較深淺層次 上模擬人類大腦的思維判斷過程，通過模擬人類思維判斷的各種算法實(shí)現(xiàn)控制。 計算機(jī)控制系統(tǒng)的優(yōu)勢、應(yīng)用特色及發(fā)展前景將隨著智能控制系統(tǒng)的發(fā)展而發(fā) 展。 研究和發(fā)展計算機(jī)網(wǎng)絡(luò)控制技術(shù) 計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，正引發(fā)著控制技 術(shù)的深刻變革，

45、以及與之相應(yīng)的新的控制理論的產(chǎn)生?？刂葡到y(tǒng)結(jié)構(gòu)的網(wǎng)絡(luò)化、 控制系統(tǒng)體系的開放性、控制技術(shù)與控制方式的智能化，是當(dāng)前控制技術(shù)發(fā)展 與創(chuàng)新的方向與主要潮流。網(wǎng)絡(luò)技術(shù)不僅是實(shí)現(xiàn)管理層的數(shù)據(jù)通訊與共享，它 應(yīng)用于控制現(xiàn)場的設(shè)備層，并將控制與管理綜合化、一體化。Internet 不僅用 于傳統(tǒng)的信息瀏覽、查詢、發(fā)布，還可通過Internet 跨國跨地區(qū)直接對現(xiàn)場設(shè) 備進(jìn)行遠(yuǎn)程監(jiān)測與控制。因而現(xiàn)代的自動化系統(tǒng)可通過網(wǎng)絡(luò)構(gòu)成信息與控制綜 合網(wǎng)絡(luò)系統(tǒng)?，F(xiàn)場控制網(wǎng)絡(luò)將現(xiàn)場控制設(shè)備通過網(wǎng)絡(luò)連接起滅，構(gòu)成分布式控 制系統(tǒng)。通過Internet實(shí)現(xiàn)遠(yuǎn)端計算機(jī)對現(xiàn)場控制設(shè)備的遠(yuǎn)程監(jiān)測與控制。四 級網(wǎng)絡(luò)就構(gòu)成現(xiàn)代自動化領(lǐng)

46、域控制網(wǎng)絡(luò)系統(tǒng)的基本結(jié)構(gòu)。計算機(jī)網(wǎng)絡(luò)對生產(chǎn)方 式的創(chuàng)新，網(wǎng)上控制，通過網(wǎng)絡(luò)進(jìn)行控制。 2 23 34 4 使用防火墻技術(shù)使用防火墻技術(shù) 采用防火墻技術(shù)是解決網(wǎng)絡(luò)安全問題的主要手段。防火墻技術(shù)是建立在現(xiàn) 代通信網(wǎng)絡(luò)技術(shù)和信息技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用 網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。防火墻是在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系 統(tǒng)，通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi) 部的信息、結(jié)構(gòu)和運(yùn)行狀況。具備檢查、阻止信息流通過和允許信息流通過兩 種管理機(jī)制，并且本身具有較強(qiáng)的抗攻擊能力。在邏輯上，防火墻是一個分離 器、限制器和分析器，可以有效地監(jiān)控內(nèi)部網(wǎng)和Int

47、ernet之間的任何活動，保 證內(nèi)部網(wǎng)絡(luò)的安全。防火墻的應(yīng)用可最大限度地保障網(wǎng)絡(luò)的正常運(yùn)行，它可以 起著提高內(nèi)部網(wǎng)絡(luò)的安全性、強(qiáng)化網(wǎng)絡(luò)安全策略、防止內(nèi)部信息泄漏、網(wǎng)絡(luò)防 毒、信息加密、存儲通信、授權(quán)、認(rèn)證等重要作用。 網(wǎng)絡(luò)的核心區(qū)域包括核心交換機(jī)，核心路由器等重要設(shè)備，它們負(fù)擔(dān)整個 網(wǎng)絡(luò)的核心數(shù)據(jù)的轉(zhuǎn)發(fā)，并且連接著DMZ區(qū)的各個關(guān)鍵應(yīng)用，如OA系統(tǒng)，ERP系 統(tǒng)，CRM系統(tǒng)，對內(nèi)或?qū)ν獾腤eb服務(wù)器，數(shù)據(jù)庫服務(wù)器等。從安全的角度來說， 這個區(qū)域是最關(guān)鍵的，也是風(fēng)險最集中的區(qū)域。我們遇到的矛盾是，既要不影 響DMZ區(qū)應(yīng)用的可用性和友好性，又要保證其訪問的安全性與審核。很多情況下 我們不但要在網(wǎng)絡(luò)的邊界部署防火墻，也要在這個區(qū)域部署為保護(hù)DMZ等類似的 關(guān)鍵區(qū)域的防火墻。 與邊界防火墻不同的是，關(guān)鍵區(qū)域的防火墻主要是面對內(nèi)部用戶，保護(hù)重 要服務(wù)和資源的訪問控制與完善安全日志的收集。邊界防火墻不僅僅要防御來 自外部的各種威脅，比如掃描，滲透，入侵，拒絕服務(wù)攻擊等攻擊，也要提供 諸如NAT服務(wù)，出站控制，遠(yuǎn)程VPN用戶和移動用戶訪問的授權(quán)等。我們可以將 各種防御的職能根據(jù)網(wǎng)絡(luò)的結(jié)構(gòu)和提供的應(yīng)用來分派到兩類防火墻上來。即內(nèi) 部防火墻重點(diǎn)保護(hù)DMZ區(qū)域，提供深層次的檢測與告警。因?yàn)橐坏┥婕暗綌?shù)據(jù)包 深入檢測，將會大大影響設(shè)備的性能。而這是對邊界防火