求一篇計(jì)算機(jī)網(wǎng)絡(luò)論文

計(jì)算機(jī)網(wǎng)絡(luò)安全1 緒論隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)公司！專注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、小程序定制開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了惠濟(jì)免費(fèi)建站歡迎大家使用！

大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯(cuò)誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時(shí)間和金錢上是很充足、富有的人。同時(shí)，必須清楚地認(rèn)識(shí)到，能夠制止偶然實(shí)施破壞行為的敵人的方法對(duì)那些慣于作案的老手來說，收效甚微。

網(wǎng)絡(luò)安全性可以被粗略地分為4個(gè)相互交織的部分：保密、鑒別、反拒認(rèn)以及完整性控制。保密是保護(hù)信息不被未授權(quán)者訪問，這是人們提到的網(wǎng)絡(luò)安全性時(shí)最常想到的內(nèi)容。鑒別主要指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確認(rèn)對(duì)方的身份。反拒認(rèn)主要與簽名有關(guān)。保密和完整性通過使用注冊(cè)過的郵件和文件鎖來實(shí)現(xiàn)。2 方案目標(biāo)本方案主要從網(wǎng)絡(luò)層次考慮，將網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)成一個(gè)支持各級(jí)別用戶或用戶群的安全網(wǎng)絡(luò)，該網(wǎng)在保證系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全的同時(shí)，還實(shí)現(xiàn)與Internet或國(guó)內(nèi)其它網(wǎng)絡(luò)的安全互連。本方案在保證網(wǎng)絡(luò)安全可以滿足各種用戶的需求，比如：可以滿足個(gè)人的通話保密性，也可以滿足企業(yè)客戶的計(jì)算機(jī)系統(tǒng)的安全保障，數(shù)據(jù)庫(kù)不被非法訪問和破壞，系統(tǒng)不被病毒侵犯，同時(shí)也可以防止諸如反動(dòng)淫穢等有害信息在網(wǎng)上傳播等。

需要明確的是，安全技術(shù)并不能杜絕所有的對(duì)網(wǎng)絡(luò)的侵?jǐn)_和破壞，它的作用僅在于最大限度地防范，以及在受到侵?jǐn)_的破壞后將損失盡旦降低。具體地說，網(wǎng)絡(luò)安全技術(shù)主要作用有以下幾點(diǎn)：

1．采用多層防衛(wèi)手段，將受到侵?jǐn)_和破壞的概率降到最低；

2．提供迅速檢測(cè)非法使用和非法初始進(jìn)入點(diǎn)的手段，核查跟蹤侵入者的活動(dòng)；

3．提供恢復(fù)被破壞的數(shù)據(jù)和系統(tǒng)的手段，盡量降低損失；

4．提供查獲侵入者的手段。

網(wǎng)絡(luò)安全技術(shù)是實(shí)現(xiàn)安全管理的基礎(chǔ)，近年來，網(wǎng)絡(luò)安全技術(shù)得到了迅猛發(fā)展，已經(jīng)產(chǎn)生了十分豐富的理論和實(shí)際內(nèi)容。3 安全需求通過對(duì)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。即，

可用性： 授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù)

機(jī)密性： 信息不暴露給未授權(quán)實(shí)體或進(jìn)程

完整性： 保證數(shù)據(jù)不被未授權(quán)修改

可控性： 控制授權(quán)范圍內(nèi)的信息流向及操作方式

可審查性：對(duì)出現(xiàn)的安全問題提供依據(jù)與手段

訪問控制：需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離，對(duì)與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制。同樣，對(duì)內(nèi)部網(wǎng)絡(luò)，由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離，并實(shí)現(xiàn)相互的訪問控制。

數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲(chǔ)過程中防止非法竊取、篡改信息的有效手段。

安全審計(jì)： 是識(shí)別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容，一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng)，識(shí)別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為，即時(shí)響應(yīng)（如報(bào)警）并進(jìn)行阻斷；二是對(duì)信息內(nèi)容的審計(jì)，可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏4 風(fēng)險(xiǎn)分析網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運(yùn)行的前提。網(wǎng)絡(luò)安全不單是單點(diǎn)的安全，而是整個(gè)信息網(wǎng)的安全，需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理方面進(jìn)行立體的防護(hù)。要知道如何防護(hù)，首先需要了解安全風(fēng)險(xiǎn)來自于何處。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個(gè)層面上的諸多風(fēng)險(xiǎn)類。無論哪個(gè)層面上的安全措施不到位，都會(huì)存在很大的安全隱患，都有可能造成網(wǎng)絡(luò)的中斷。根據(jù)國(guó)內(nèi)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況，應(yīng)當(dāng)從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進(jìn)行全面地分析。

風(fēng)險(xiǎn)分析是網(wǎng)絡(luò)安全技術(shù)需要提供的一個(gè)重要功能。它要連續(xù)不斷地對(duì)網(wǎng)絡(luò)中的消息和事件進(jìn)行檢測(cè)，對(duì)系統(tǒng)受到侵?jǐn)_和破壞的風(fēng)險(xiǎn)進(jìn)行分析。風(fēng)險(xiǎn)分析必須包括網(wǎng)絡(luò)中所有有關(guān)的成分。5 解決方案5.1 設(shè)計(jì)原則

針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際情況，解決網(wǎng)絡(luò)的安全保密問題是當(dāng)務(wù)之急，考慮技術(shù)難度及經(jīng)費(fèi)等因素，設(shè)計(jì)時(shí)應(yīng)遵循如下思想：

1．大幅度地提高系統(tǒng)的安全性和保密性；

2．保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性；

3．易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作；

4．盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；

5．安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期使用；

6．安全與密碼產(chǎn)品具有合法性，及經(jīng)過國(guó)家有關(guān)管理部門的認(rèn)可或認(rèn)證；

7．分步實(shí)施原則：分級(jí)管理 分步實(shí)施。

5.2 安全策略

針對(duì)上述分析，我們采取以下安全策略：

1．采用漏洞掃描技術(shù)，對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。

2．采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：

(1) 防火墻技術(shù)：在網(wǎng)絡(luò)的對(duì)外接口，采用防火墻技術(shù)，在網(wǎng)絡(luò)層進(jìn)行訪問控制。

(2) NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息。

(3) VPN：虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機(jī)將不會(huì)覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的機(jī)器都處于一個(gè)網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨(dú)占使用，而事實(shí)上并非如此。

(4）網(wǎng)絡(luò)加密技術(shù)(Ipsec) ：采用網(wǎng)絡(luò)加密技術(shù)，對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾?。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題，也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。

(5) 認(rèn)證：提供基于身份的認(rèn)證，并在各種認(rèn)證機(jī)制中可選擇使用。

(6) 多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng)：采用多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng)，對(duì)病毒實(shí)現(xiàn)全面的防護(hù)。

(7）網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè)：采用入侵檢測(cè)系統(tǒng)，對(duì)主機(jī)和網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和預(yù)警，進(jìn)一步提高網(wǎng)絡(luò)防御外來攻擊的能力。

3．實(shí)時(shí)響應(yīng)與恢復(fù)：制定和完善安全管理制度，提高對(duì)網(wǎng)絡(luò)攻擊等實(shí)時(shí)響應(yīng)與恢復(fù)能力。

4．建立分層管理和各級(jí)安全管理中心。

5.3 防御系統(tǒng)

我們采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)（Ipsec）、身份認(rèn)證技術(shù)、多層次多級(jí)別的防病毒系統(tǒng)、入侵檢測(cè)技術(shù)，構(gòu)成網(wǎng)絡(luò)安全的防御系統(tǒng)。

5.3.1 物理安全

物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。

為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴(kuò)散。通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴(kuò)散出去的空間信號(hào)。這是政府、軍隊(duì)、金融機(jī)構(gòu)在興建信息中心時(shí)首要的設(shè)置的條件。

為保證網(wǎng)絡(luò)的正常運(yùn)行，在物理安全方面應(yīng)采取如下措施：

1．產(chǎn)品保障方面：主要指產(chǎn)品采購(gòu)、運(yùn)輸、安裝等方面的安全措施。

2．運(yùn)行安全方面：網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對(duì)一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。

3．防電磁輻射方面：所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品，如輻射干擾機(jī)。

4．保安方面：主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)、安全設(shè)備的安全防護(hù)。

5.3.2 防火墻技術(shù)

防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物理實(shí)現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備――路由器、計(jì)算機(jī)或其他特制地硬件設(shè)備。防火墻可以是獨(dú)立地系統(tǒng)，也可以在一個(gè)進(jìn)行網(wǎng)絡(luò)互連地路由器上實(shí)現(xiàn)防火墻。用防火墻來實(shí)現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：

（1）屏蔽路由器：又稱包過濾防火墻。

（2）雙穴主機(jī)：雙穴主機(jī)是包過濾網(wǎng)關(guān)的一種替代。

（3）主機(jī)過濾結(jié)構(gòu)：這種結(jié)構(gòu)實(shí)際上是包過濾和代理的結(jié)合。

（4）屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的變形。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測(cè)型。

5.3.2.1 包過濾型

包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn) ,一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。 包過濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。 但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻。

5.3.2.2 網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。

5.3.2.3 代理型

代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。 代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。

以上回答來自:

畢業(yè)論文

相關(guān)資料：

企業(yè)內(nèi)網(wǎng)安全分析與策略

一、背景分析

提起網(wǎng)絡(luò)信息安全，人們自然就會(huì)想到病毒破壞和黑客攻擊。其實(shí)不然，政府和企業(yè)因信息被竊取所造成的損失遠(yuǎn)遠(yuǎn)超過病毒破壞和黑客攻擊所造成的損失，據(jù)權(quán)威機(jī)構(gòu)調(diào)查：三分之二以上的安全威脅來自泄密和內(nèi)部人員犯罪，而非病毒和外來黑客引起。

目前，政府、企業(yè)等社會(huì)組織在網(wǎng)絡(luò)安全防護(hù)建設(shè)中，普遍采用傳統(tǒng)的內(nèi)網(wǎng)邊界安全防護(hù)技術(shù)，即在組織網(wǎng)絡(luò)的邊緣設(shè)置網(wǎng)關(guān)型邊界防火墻、AAA認(rèn)證、入侵檢測(cè)系統(tǒng)IDS等等網(wǎng)絡(luò)邊界安全防護(hù)技術(shù)，對(duì)網(wǎng)絡(luò)入侵進(jìn)行監(jiān)控和防護(hù)，抵御來自組織外部攻擊、防止組織網(wǎng)絡(luò)資源、信息資源遭受損失，保證組織業(yè)務(wù)流程的有效進(jìn)行。

這種解決策略是針對(duì)外部入侵的防范，對(duì)于來自網(wǎng)絡(luò)內(nèi)部的對(duì)企業(yè)網(wǎng)絡(luò)資源、信息資源的破壞和非法行為的安全防護(hù)卻無任何作用。對(duì)于那些需要經(jīng)常移動(dòng)的終端設(shè)備在安全防護(hù)薄弱的外部網(wǎng)絡(luò)環(huán)境的安全保障，企業(yè)基于網(wǎng)絡(luò)邊界的安全防護(hù)技術(shù)就更是鞭長(zhǎng)莫及了，由此危及到內(nèi)部網(wǎng)絡(luò)的安全。一方面，企業(yè)中經(jīng)常會(huì)有人私自以Modem撥號(hào)方式、手機(jī)或無線網(wǎng)卡等方式上網(wǎng)，而這些機(jī)器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來了巨大的潛在威脅;另一方面，黑客利用虛擬專用網(wǎng)絡(luò)VPN、無線局域網(wǎng)、操作系統(tǒng)以及網(wǎng)絡(luò)應(yīng)用程序的各種漏洞就可以繞過企業(yè)的邊界防火墻侵入企業(yè)內(nèi)部網(wǎng)絡(luò)，發(fā)起攻擊使內(nèi)部網(wǎng)絡(luò)癱瘓、重要服務(wù)器宕機(jī)以及破壞和竊取企業(yè)內(nèi)部的重要數(shù)據(jù)。

二、內(nèi)網(wǎng)安全風(fēng)險(xiǎn)分析

現(xiàn)代企業(yè)的網(wǎng)絡(luò)環(huán)境是建立在當(dāng)前飛速發(fā)展的開放網(wǎng)絡(luò)環(huán)境中，顧名思義，開放的環(huán)境既為信息時(shí)代的企業(yè)提供與外界進(jìn)行交互的窗口，同時(shí)也為企業(yè)外部提供了進(jìn)入企業(yè)最核心地帶——企業(yè)信息系統(tǒng)的便捷途徑，使企業(yè)網(wǎng)絡(luò)面臨種種威脅和風(fēng)險(xiǎn)：病毒、蠕蟲對(duì)系統(tǒng)的破壞；系統(tǒng)軟件、應(yīng)用軟件自身的安全漏洞為不良企圖者所利用來竊取企業(yè)的信息資源;企業(yè)終端用戶由于安全意識(shí)、安全知識(shí)、安全技能的匱乏，導(dǎo)致企業(yè)安全策略不能真正的得到很好的落實(shí)，開放的網(wǎng)絡(luò)給企業(yè)的信息安全帶來巨大的威脅。

1.病毒、蠕蟲入侵

目前，開放網(wǎng)絡(luò)面臨的病毒、蠕蟲威脅具有傳播速度快、范圍廣、破壞性大、種類多、變化快等特點(diǎn)，即使再先進(jìn)的防病毒軟件、入侵檢測(cè)技術(shù)也不能獨(dú)立有效地完成安全防護(hù)，特別是對(duì)新類型新變種的病毒、蠕蟲，防護(hù)技術(shù)總要相對(duì)落后于新病毒新蠕蟲的入侵。

病毒、蠕蟲很容易通過各種途徑侵入企業(yè)的內(nèi)部網(wǎng)絡(luò)，除了利用企業(yè)網(wǎng)絡(luò)安全防護(hù)措施的漏洞外，最大的威脅卻是來自于內(nèi)部網(wǎng)絡(luò)用戶的各種危險(xiǎn)應(yīng)用：不安裝殺毒軟件；安裝殺毒軟件但不及時(shí)升級(jí)；網(wǎng)絡(luò)用戶在安裝完自己的辦公桌面系統(tǒng)后，未采取任何有效防護(hù)措施就連接到危險(xiǎn)的網(wǎng)絡(luò)環(huán)境中，特別是Internet；移動(dòng)用戶計(jì)算機(jī)連接到各種情況不明網(wǎng)絡(luò)環(huán)境，在沒有采取任何防護(hù)措施的情況下又連入企業(yè)網(wǎng)絡(luò)；桌面用戶在終端使用各種數(shù)據(jù)介質(zhì)、軟件介質(zhì)等等都可能將病毒、蠕蟲在不知不覺中帶入到企業(yè)網(wǎng)絡(luò)中，給企業(yè)信息基礎(chǔ)設(shè)施，企業(yè)業(yè)務(wù)帶來無法估量的損失。

2.軟件漏洞隱患

企業(yè)網(wǎng)絡(luò)通常由數(shù)量龐大、種類繁多的軟件系統(tǒng)組成，有系統(tǒng)軟件、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用軟件等等，尤其是存在于廣大終端用戶辦公桌面上的各種應(yīng)用軟件不勝繁雜，每一個(gè)軟件系統(tǒng)都有不可避免的、潛在的或已知的軟件漏洞。無論哪一部分的漏洞被利用，都會(huì)給企業(yè)帶來危害，輕者危及個(gè)別設(shè)備，重者成為攻擊整個(gè)企業(yè)網(wǎng)絡(luò)媒介，危及整個(gè)企業(yè)網(wǎng)絡(luò)安全。

3.系統(tǒng)安全配置薄弱

企業(yè)網(wǎng)絡(luò)建設(shè)中應(yīng)用的各種軟件系統(tǒng)都有各自默認(rèn)的安全策略增強(qiáng)的安全配置設(shè)置，例如，賬號(hào)策略、審核策略、屏保策略、匿名訪問限制、建立撥號(hào)連接限制等等。這些安全配置的正確應(yīng)用對(duì)于各種軟件系統(tǒng)自身的安全防護(hù)的增強(qiáng)具有重要作用，但在實(shí)際的企業(yè)網(wǎng)絡(luò)環(huán)境中，這些安全配置卻被忽視，尤其是那些網(wǎng)絡(luò)的終端用戶，導(dǎo)致軟件系統(tǒng)的安全配置成為“軟肋”、有時(shí)可能嚴(yán)重為配置漏洞，完全暴露給整個(gè)外部。例如某些軟件系統(tǒng)攻擊中采用的“口令強(qiáng)制攻擊”就是利用了弱口令習(xí)慣性的使用安全隱患，黑客利用各種網(wǎng)絡(luò)應(yīng)用默認(rèn)安裝中向外部提供的有限信息獲取攻擊的必要信息等等。

4.脆弱的網(wǎng)絡(luò)接入安全防護(hù)

傳統(tǒng)的網(wǎng)絡(luò)訪問控制都是在企業(yè)網(wǎng)絡(luò)邊界進(jìn)行的，或在不同的企業(yè)內(nèi)網(wǎng)不同子網(wǎng)邊界進(jìn)行且在網(wǎng)絡(luò)訪問用戶的身份被確認(rèn)后，用戶即可以對(duì)企業(yè)內(nèi)網(wǎng)進(jìn)行各種訪問操作。在這樣一個(gè)訪問控制策略中存在無限的企業(yè)網(wǎng)絡(luò)安全漏洞，例如，企業(yè)網(wǎng)絡(luò)的合法移動(dòng)用戶在安全防護(hù)較差的外網(wǎng)環(huán)境中使用VPN連接、遠(yuǎn)程撥號(hào)、無線AP，以太網(wǎng)接入等等網(wǎng)絡(luò)接入方式，在外網(wǎng)和企業(yè)內(nèi)網(wǎng)之間建立一個(gè)安全通道。

另一個(gè)傳統(tǒng)網(wǎng)絡(luò)訪問控制問題來自企業(yè)網(wǎng)絡(luò)內(nèi)部，尤其對(duì)于大型企業(yè)網(wǎng)絡(luò)擁有成千上萬的用戶終端，使用的網(wǎng)絡(luò)應(yīng)用層出不窮，目前對(duì)于企業(yè)網(wǎng)管很難準(zhǔn)確的控制企業(yè)網(wǎng)絡(luò)的應(yīng)用，這樣的現(xiàn)實(shí)導(dǎo)致安全隱患的產(chǎn)生：?jiǎn)T工使用未經(jīng)企業(yè)允許的網(wǎng)絡(luò)應(yīng)用，如郵件服務(wù)器收發(fā)郵件，這就可能使企業(yè)的保密數(shù)據(jù)外泄或感染郵件病毒；企業(yè)內(nèi)部員工在終端上私自使用未經(jīng)允許的網(wǎng)絡(luò)應(yīng)用程序，在此過程中就有可能下載到帶有病毒、木馬程序等惡意代碼的軟件，從而感染內(nèi)部網(wǎng)絡(luò)，進(jìn)而造成內(nèi)部網(wǎng)絡(luò)中敏感數(shù)據(jù)的泄密或損毀。

5.企業(yè)網(wǎng)絡(luò)入侵

現(xiàn)階段黑客攻擊技術(shù)細(xì)分下來共有8類，分別為入侵系統(tǒng)類攻擊、緩沖區(qū)溢出攻擊、欺騙類攻擊、拒絕服務(wù)攻擊、對(duì)防火墻的攻擊、病毒攻擊、偽裝程序/木馬程序攻擊、后門攻擊。

對(duì)于采取各種傳統(tǒng)安全防護(hù)措施的企業(yè)內(nèi)網(wǎng)來說，都沒有萬無一失的把握;對(duì)于從企業(yè)內(nèi)網(wǎng)走出到安全防護(hù)薄弱的外網(wǎng)環(huán)境的移動(dòng)用戶來說，安全保障就會(huì)嚴(yán)重惡化，當(dāng)移動(dòng)用戶連接到企業(yè)內(nèi)網(wǎng)，就會(huì)將各種網(wǎng)絡(luò)入侵帶入企業(yè)網(wǎng)絡(luò)。

6.終端用戶計(jì)算機(jī)安全完整性缺失

隨著網(wǎng)絡(luò)技術(shù)的普及和發(fā)展，越來越多的員工會(huì)在企業(yè)專網(wǎng)以外使用計(jì)算機(jī)辦公，同時(shí)這些移動(dòng)員工需要連接回企業(yè)的內(nèi)部網(wǎng)絡(luò)獲取工作必須的數(shù)據(jù)。由于這些移動(dòng)用戶處于專網(wǎng)的保護(hù)之外，很有可能被黑客攻陷或感染網(wǎng)絡(luò)病毒。同時(shí)，企業(yè)現(xiàn)有的安全投資（如：防病毒軟件、各種補(bǔ)丁程序、安全配置等）若處于不正常運(yùn)行狀態(tài)，終端員工沒有及時(shí)更新病毒特征庫(kù)，或私自卸載安全軟件等，將成為黑客攻擊內(nèi)部網(wǎng)絡(luò)的跳板。

三、內(nèi)網(wǎng)安全實(shí)施策略

1.多層次的病毒、蠕蟲防護(hù)

病毒、蠕蟲破壞網(wǎng)絡(luò)安全事件一直以來在網(wǎng)絡(luò)安全領(lǐng)域就沒有一個(gè)根本的解決辦法，其中的原因是多方面的，有人為的原因，如不安裝防殺病毒軟件，病毒庫(kù)未及時(shí)升級(jí)等等，也有技術(shù)上的原因，殺毒軟件、入侵防范系統(tǒng)等安全技術(shù)對(duì)新類型、新變異的病毒、蠕蟲的防護(hù)往往要落后一步。危害好像是無法避免的，但我們可以控制它的危害程度，只要我們針對(duì)不同的原因采取有針對(duì)性的切實(shí)有效的防護(hù)辦法，就會(huì)使病毒、蠕蟲對(duì)企業(yè)的危害減少到最低限度，甚至沒有危害。這樣，僅靠單一、簡(jiǎn)單的防護(hù)技術(shù)是難以防護(hù)病毒、蠕蟲的威脅的。

2.終端用戶透明、自動(dòng)化的補(bǔ)丁管理，安全配置

為了彌補(bǔ)和糾正運(yùn)行在企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件、應(yīng)用軟件的安全漏洞，使整個(gè)企業(yè)網(wǎng)絡(luò)安全不至由于個(gè)別軟件系統(tǒng)的漏洞而受到危害，完全必要在企業(yè)的安全管理策略中加強(qiáng)對(duì)補(bǔ)丁升級(jí)、系統(tǒng)安全配置的管理。

用戶可通過管理控制臺(tái)集中管理企業(yè)網(wǎng)絡(luò)終端設(shè)備的軟件系統(tǒng)的補(bǔ)丁升級(jí)、系統(tǒng)配置策略，定義終端補(bǔ)丁下載。將補(bǔ)丁升級(jí)策略、增強(qiáng)終端系統(tǒng)安全配置策略下發(fā)給運(yùn)行于各終端設(shè)備上的安全代理，安全代理執(zhí)行這些策略，以保證終端系統(tǒng)補(bǔ)丁升級(jí)、安全配置的完備有效，整個(gè)管理過程都是自動(dòng)完成的，對(duì)終端用戶來說完全透明，減少了終端用戶的麻煩和企業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，提高企業(yè)網(wǎng)絡(luò)整體的補(bǔ)丁升級(jí)、安全配置管理效率和效用，使企業(yè)網(wǎng)絡(luò)的補(bǔ)丁及安全配置管理策略得到有效的落實(shí)。

3.全面的網(wǎng)絡(luò)準(zhǔn)入控制

為了解決傳統(tǒng)的外網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)給企業(yè)網(wǎng)絡(luò)帶來的安全隱患，以及企業(yè)網(wǎng)絡(luò)安全管理人員無法控制內(nèi)部員工網(wǎng)絡(luò)行為給企業(yè)網(wǎng)絡(luò)帶來的安全問題，除了有效的解決企業(yè)員工從企業(yè)內(nèi)網(wǎng)、外網(wǎng)以各種網(wǎng)絡(luò)接入方式接入企業(yè)網(wǎng)絡(luò)的訪問控制問題，同時(shí)對(duì)傳統(tǒng)的網(wǎng)絡(luò)邊界訪問控制沒有解決的網(wǎng)絡(luò)接入安全防護(hù)措施，而采用邊界準(zhǔn)入控制、接入層準(zhǔn)入控制等技術(shù)進(jìn)行全面的實(shí)現(xiàn)準(zhǔn)入控制。當(dāng)外網(wǎng)用戶接入企業(yè)網(wǎng)絡(luò)時(shí)，檢查客戶端的安全策略狀態(tài)是否符合企業(yè)整體安全策略，對(duì)于符合的外網(wǎng)訪問則放行。一個(gè)全面的網(wǎng)絡(luò)準(zhǔn)入檢測(cè)系統(tǒng)。

4.終端設(shè)備安全完整性保證

主機(jī)完整性強(qiáng)制是確保企業(yè)網(wǎng)絡(luò)安全的關(guān)鍵組件。主機(jī)完整性可確保連接到企業(yè)網(wǎng)的客戶端正運(yùn)行著所需的應(yīng)用程序和數(shù)據(jù)文件。信息安全業(yè)界已經(jīng)開發(fā)出了多種基于主機(jī)的安全產(chǎn)品，以確保企業(yè)網(wǎng)絡(luò)和信息的安全，阻止利用網(wǎng)絡(luò)連接技術(shù)、應(yīng)用程序和操作系統(tǒng)的弱點(diǎn)和漏洞所發(fā)起的攻擊。并已充分采用了在個(gè)人防火墻、入侵檢測(cè)、防病毒、文件完整性、文件加密和安全補(bǔ)丁程序等方面的技術(shù)進(jìn)步來有效地保護(hù)企業(yè)設(shè)備。然而，只有在充分保證這些安全技術(shù)的應(yīng)用狀態(tài)、更新級(jí)別和策略完整性之后，才能享受這些安全技術(shù)給企業(yè)網(wǎng)絡(luò)安全帶來的益處。如果企業(yè)端點(diǎn)設(shè)備不能實(shí)施主機(jī)完整性，也就不能將該設(shè)備看成企業(yè)網(wǎng)絡(luò)受信設(shè)備。

僅供參考，請(qǐng)自借鑒

希望對(duì)您有幫助

求畢業(yè)論文的論點(diǎn)（網(wǎng)絡(luò)安全與數(shù)據(jù)加密技術(shù)）

網(wǎng)絡(luò)安全分析及對(duì)策

摘 要：網(wǎng)絡(luò)安全問題已成為信息時(shí)代面臨的挑戰(zhàn)和威脅，網(wǎng)絡(luò)安全問題也日益突出。具體表現(xiàn)為：網(wǎng)絡(luò)系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重；黑客活動(dòng)已形成重要威脅；信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)。分析了網(wǎng)絡(luò)安全防范能力的主要因素，就如何提高網(wǎng)絡(luò)的安全性提出幾點(diǎn)建議：建立一個(gè)功能齊備、全局協(xié)調(diào)的安全技術(shù)平臺(tái)，與信息安全管理體系相互支撐和配合。

關(guān)鍵詞：網(wǎng)絡(luò)安全；現(xiàn)狀分析；防范策略

引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時(shí)，網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要起來，已被信息社會(huì)的各個(gè)領(lǐng)域所重視。今天我們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患進(jìn)行分析，并探討了針對(duì)計(jì)算機(jī)安全隱患的防范策略。

目前，生活的各個(gè)方面都越來越依賴于計(jì)算機(jī)網(wǎng)絡(luò)，社會(huì)對(duì)計(jì)算機(jī)的依賴程度達(dá)到了空前的記錄。由于計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性，這種高度的依賴性是國(guó)家的經(jīng)濟(jì)和國(guó)防安全變得十分脆弱，一旦計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊而不能正常工作，甚至癱瘓，整個(gè)社會(huì)就會(huì)陷入危機(jī)。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及分析。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略。

2.1防火墻技術(shù)。

2.2數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)。與防火墻相比，數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活，更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對(duì)靜態(tài)信息的保護(hù)，需要系統(tǒng)級(jí)別的支持，一般在操作系統(tǒng)中實(shí)現(xiàn)。數(shù)據(jù)加密主要用于對(duì)動(dòng)態(tài)信息的保護(hù)。對(duì)動(dòng)態(tài)數(shù)據(jù)的攻擊分為主動(dòng)攻擊和被動(dòng)攻擊。對(duì)于主動(dòng)攻擊，雖無法避免，但卻可以有效地檢測(cè);而對(duì)于被動(dòng)攻擊，雖無法檢測(cè)，但卻可以避免，實(shí)現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密實(shí)質(zhì)上是對(duì)以符號(hào)為基礎(chǔ)的數(shù)據(jù)進(jìn)行移位和置換的變換算法，這種變換是受“密鑰”控制的。在傳統(tǒng)的加密算法中，加密密鑰與解密密鑰是相同的，或者可以由其中一個(gè)推知另一個(gè)，稱為“對(duì)稱密鑰算法”。這樣的密鑰必須秘密保管，只能為授權(quán)用戶所知，授權(quán)用戶既可以用該密鑰加密信急，也可以用該密鑰解密信息，DES是對(duì)稱加密算法中最具代表性的算法。如果加密/解密過程各有不相干的密鑰，構(gòu)成加密/解密的密鑰對(duì)，則稱這種加密算法為“非對(duì)稱加密算法”或稱為“公鑰加密算法”，相應(yīng)的加密/解密密鑰分別稱為“公鑰”和“私鑰”。在公鑰加密算法中，公鑰是公開的，任何人可以用公鑰加密信息，再將密文發(fā)送給私鑰擁有者。私鑰是保密的，用于解密其接收的公鑰加密過的信息。典型的公鑰加密算法如RSA是目前使用比較廣泛的加密算法。

2.3入侵檢測(cè)技術(shù)。入侵檢測(cè)系統(tǒng)(Intrusion Detection System簡(jiǎn)稱IDS)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過這此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊;在入侵攻擊過程中，能減少入侵攻擊所造成的損失;在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加入策略集中，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵。入侵檢測(cè)的作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)技術(shù)的功能主要體現(xiàn)在以下方面：監(jiān)視分析用戶及系統(tǒng)活動(dòng)，查找非法用戶和合法用戶的越權(quán)操作。檢測(cè)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞;識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警;對(duì)異常行為模式的統(tǒng)計(jì)分析;能夠?qū)崟r(shí)地對(duì)檢測(cè)到的入侵行為進(jìn)行反應(yīng);評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;可以發(fā)現(xiàn)新的攻擊模式。

2.4防病毒技術(shù)。

2.5安全管理隊(duì)伍的建設(shè)。

3 結(jié)論

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。計(jì)算機(jī)網(wǎng)絡(luò)的安全問題越來越受到人們的重視，總的來說，網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，同時(shí)也是一個(gè)安全管理問題。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。

參考文獻(xiàn)

[1]國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急中心2007年上半年網(wǎng)絡(luò)分析報(bào)告.

[2]王達(dá)．網(wǎng)管員必讀——網(wǎng)絡(luò)安全第二版.