网络安全问题与对策浅析.doc

摘 要随着计算机信息技术的迅猛发展，网络的普及和发展从根本上改变了人类的生活方式与工作效率。计算机网络已经越发成为农业、工业、第三产业和国防工业的重要信息交换媒介，并且渗透到社会生活的各个角落。网络的快速发展的同时还存在着不可避免的信息安全隐患。因此，认清网络的脆弱性和潜在威胁的严重性，采取强有力安全策略势在必行。计算机网络安全工作是一项长期而艰巨的任务，它应该贯彻于整个信息网络的筹划、组成、测试的全过程。本文主要通过介绍目前在计算机网络中存在的主要安全威胁并提出构建网络安全的防护体系，从而对网络安全的防护策略进行探讨。【关键词】网络安全，交换媒介，安全策略AbstractWith the rapid development of information technology, the popularity and development of the network has changed the way people live and work efficiency radically. Computer networks have become increasingly important information as agriculture, industry, tertiary industry and the defense industrys medium of exchange, and penetrated into every corner of society. The rapid development of network information, there are still the inevitable security risks. Therefore, a clear understanding of the seriousness of the network vulnerabilities and potential threats, to take strong security policy imperative. Computer network security is a long and arduous task, it should be implemented in the entire information network planning, composition, testing the entire process. This paper describes the current through the main security threats that exist in a computer network and proposes to build network security protection system, and thus the network security protection strategies are discussed.【Key words 】Network security, medium of exchange, security policy 目 录摘 要IAbstractII目 录III前 言11.网络安全概述31.1网络安全概念31.2网络安全影响方面31.4网络安全重要性52.网络安全现状72.1网络安全问题产生原因72.2国外网络安全现状82.3国内网络安全现状93.网络安全事件113.1熊猫烧香事例113.2“熊猫烧香”影响114、网络面临的安全问题134.1网络系统本身存在的问题134.2网络系统外部存在的威胁134.3网络系统管理制度存在的问题144.4网络安全威胁类型144.4.1物理威胁144.4.2系统漏洞威胁154.4.3有害程序威胁155、网络安全的解决方案165.1网络安全解决技术165.3普及计算机网络安全教育215.4有关网络安全政策的法律法规22总结与展望24参考文献25致 谢26III前 言随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的，通常也是狡猾的、专业的，并且在时间和金钱上是很充足、富有的人。同时，必须清楚地认识到，能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说，收效甚微。网络安全性可以被粗略地分为4个相互交织的部分：保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问，这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来。计算机网络所具有的开放性、互连性和共享性等特征使网上信息安全存在着先天不足，再加上系统软件中的安全漏洞以及所欠缺的严格管理，致使网络易受攻击，因此网络安全所采取的措施应能全方位地针对各种不同的威胁，保障网络信息的保密性、完整性和可用性。现有网络系统和协议还是不健全、不完善不安全的。网络安全是研究与计算机科学相关的安全问题，具体地说，网络安全研究了安全的存储、处理或传输信息资源的技术、体制和服务的发展、实现和应用。每个计算机离不开人，网络安全不仅依赖于技术上的措施，也离不开组织和法律上的措施。客户服务器计算模式下的网络安全研究领域，一是OSI安全结构定义的安全服务：鉴别服务、数据机密性服务、数据完整性服务、访问控制服务等；二是OSI安全结构定义的安全机制：加密、数字签名、访问控制、数据完整性、鉴别交换、通信填充等机制以及事件检测、安全审查跟踪、安全恢复；三是访问控制服务：访问控制服务中的安全技术有静态分组过滤、动态分组过滤、链路层网关、应用层网关；四是通信安全服务：OSI结构通信安全服务包括鉴别、数据机密性和完整性和不可抵赖服务；五是网络存活性：目前对Internet存活性的研究目的是开发一种能保护网络和分布式系统免遭拒绝服务攻击的技术和机制。1.网络安全概述当今信息时代，计算机网络已经成为一种不可缺少的信息交换工具。然而，由于计算机网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性，再加上本身存在的技术弱点和人为的疏忽，致使网络易受计算机病毒、黑客或恶意软件的侵害。面对侵袭网络安全的种种威胁，必须考虑信息的安全这个至关重要的问题。网络信息安全分为网络安全和信息两个层面。网络安全包括系统安全，即硬件平台、操作系统、应用软件运行服务安全，即保证服务的连续性、高效率。信息安全则主要是指数据安全，包括数据加密、备份、程序等。1.1网络安全概念网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全包含网络设备安全、网络信息安全、网络软件安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。1.2网络安全影响方面计算机通信网络的安全涉及到多种学科，包括计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等十数种，这些技术各司其职，保护网络系统的硬件、软件以及系统中的数据免遭各种因素的破坏、更改、泄露，保证系统连续可靠正常运行。影响计算机通信网络安全的客观因素：1、网络资源的共享性。计算机网络最主要的一个功能就是“资源共享”。无论你是在天涯海角，还是远在天边，只要有网络，就能找到你所需要的信息。所以，资源共享的确为我们提供了很大的便利，但这为系统安全的攻击者利用共享的资源进行破坏也提供了机会。2、操作系统漏洞是指计算机操作系统本身所存在的问题或技术缺陷。由于网络协议实现的复杂性，决定了操作系统必然存在各种的缺陷和漏洞。3、网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。4、网上的任何一个用户很方便访问互联网上的信息资源，从而很容易获取到一个企业、单位以及个人的信息。5、恶意攻击就是人们常见的黑客攻击及网络病毒是最难防范的网络安全威胁。随着电脑教育的大众化，这类攻击也越来越多，影响越来越大。无论是DOS 攻击还是DDOS 攻击，简单的看，都只是一种破坏网络服务的黑客方式，虽然具体的实现方式千变万化，但都有一个共同点，就是其根本目的是使受害主机或网络无法及时接收并处理外界请求，或无法及时回应外界请求。具体表现方式有以下几种：（1）制造大流量无用数据，造成通往被攻击主机的网络拥塞，使被攻击主机无法正常和外界通信。（2）利用被攻击主机提供服务或传输协议上处理重复连接的缺陷，反复高频的发出攻击性的重复服务请求，使被攻击主机无法及时处理其它正常的请求。（3）利用被攻击主机所提供服务程序或传输协议的本身实现缺陷，反复发送畸形的攻击数据引发系统错误而分配大量系统资源，使主机处于挂起状态甚至死机。DOS 攻击几乎是从互联网络的诞生以来，就伴随着互联网络的发展而一直存在也不断发展和升级。值得一提的是，要找DOS 的工具一点不难，黑客网络社区都有共享黑客软件的传统，并会在一起交流攻击的心得经验，你可以很轻松的从Internet 上获得这些工具。所以任何一个上网者都可能构成网络安全的潜在威胁。DOS 攻击给飞速发展的互联网络安全带来重大的威胁。然而从某种程度上可以说，D0S 攻击永远不会消失而且从技术上目前没有根本的解决办法。现在计算机网络安全事件发生频率分布图如图2-1所示。图2-1 计算机网络安全时间发生频率图1.4网络安全重要性计算机存储和处理的是有关国家安全的政治、经济、军事、国防的情况及一些部门、机构、组织的机密信息或是个人的敏感信息、隐私，因此成为敌对势力、不法分子的攻击目标。 随着计算机系统功能的日益完善和速度的不断提高，系统组成越来越复杂，系统规模越来越大，特别是Internet的迅速发展，存取控制、逻辑连接数量不断增加，软件规模空前膨胀，任何隐含的缺陷、失误都能造成巨大损失。 人们对计算机系统的需求在不断扩大，这类需求在许多方面都是不可逆转，不可替代的，而计算机系统使用的场所正在转向工业、农业、野外、天空、海上、宇宙空间，核辐射环境等等，这些环境都比机房恶劣，出错率和故障的增多必将导致可靠性和安全性的降低。 随着计算机系统的广泛应用，各类应用人员队伍迅速发展壮大，教育和培训却往往跟不上知识更新的需要，操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不足。 计算机网络安全问题涉及许多学科领域，既包括自然科学，又包括社会科学。就计算机系统的应用而言，安全技术涉及计算机技术、通信技术、存取控制技术、校验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄露技术等等，因此是一个非常复杂的综合问题，并且其技术、方法和措施都要随着系统应用环境的变化而不断变化。从认识论的高度看，人们往往首先关注系统功能，然后才被动的从现象注意系统应用的安全问题。因此广泛存在着重应用、轻安全、法律意识淡薄的普遍现象。计算机系统的安全是相对不安全而言的，许多危险、隐患和攻击都是隐蔽的、潜在的、难以明确却又广泛存在的。2.网络安全现状互联网和网络应用以飞快的速度不断发展，网络应用日益普及并更加复杂，网络安全问题是互联网和网络应用发展中面临的重要问题。网络攻击行为日趋复杂，各种方法相互融合，使网络安全防御更加困难。黑客攻击行为，攻击目标从单纯的追求荣耀感向获取多方面实际利益的方向转移。网上木马、间谍程序、恶意网站、网络仿冒等的出现和日趋泛滥；手机、掌上电脑等无线终端的处理能力和功能通用性提高，使其日趋接近个人计算机，针对这些无线终端的网络攻击已经开始出现，并将进一步发展。总之，网络安全问题变得更加错综复杂，影响将不断扩大，网络安全问题已经是摆在了非常重要的位置上，如果网络安全不加以防范，会严重地影响到网络的应用。2.1网络安全问题产生原因计算机网络上的通信面临以下的四种威胁： (1) 截获从网络上窃听他人的通信内容。 (2) 中断有意中断他人在网络上的通信。 (3) 篡改故意篡改网络上传送的报文。 (4) 伪造伪造信息在网络上传送。截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击在被动攻击中，攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信息流。主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。更改报文流 拒绝报文服务 伪造连接初始化 计算机网络通信安全的目标 (1) 防止析出报文内容；(2) 防止通信量分析；(3) 检测更改报文流；(4) 检测拒绝报文服务；(5) 检测伪造初始化连接恶意程序(rogue program) (1) 计算机病毒会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。(2) 计算机蠕虫通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。(3) 特洛伊木马一种程序，它执行的功能超出所声称的功能。(4) 逻辑炸弹一种当运行环境满足某种特定条件时执行其他特殊功能的程序。 计算机网络安全的内容保密性安全协议的设计 访问控制2.2国外网络安全现状目前国际上围绕信息安全的斗争愈演愈烈。在全球信息化的同时，各种新攻击与防护技术(如对工业控制系统的攻击、无界浏览器、网络刷票、免杀等)、新攻击与防护方法(如网络身份证、云安全等。)层出不穷。这些新攻击与防护技术所带来的安全问题尤其突出，因此有必要对这些新攻击与防护技术、方法、所带来的安全问题进行系统分析，识别对国家安全和社会稳定所带来的风险和影响。信息网络安全是美国三大核心国家战略之一，如果说在工业时代是以核战争为中心，那么在网络时代是就是以网络战为中心。美国奥巴马政府把加强信息安全作为振兴美国经济繁荣和国家安全的重大战略，同时把加强信息安全教育和人才队伍培养列为保障网络空间安全战略的重点，以此来确保美国控制全球信息的绝对优势。 在各领域的计算机犯罪和网络侵权方面，无论是数量、手段，还是性质、规模，已经到了令人咋舌的地步。据统计，目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元，德国、英国也均在数十亿美元以上，法国为100亿法郎，日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已名列榜首。据统计，全球平均每20秒就发生1次网上入侵事件，黑客一旦找到系统的薄弱环节，所有用户均会遭殃。据江民科技统计，2011年上半年共发现被感染计算机数量达250万余台，同比2010年上半年下降了60%。2011年上半年由传统病毒造成的威胁呈减弱的趋势。如图2-1所示：图2-1被感染计算机数量2.3国内网络安全现状目前我国信息安全产业尚处于发展初期，国家策对于行业发展至关重要，在策推动下，信息安全市场将由府、金融、电信等传统领域向国防、能源、教育、交通、医疗卫生行业以及中小企业快速拓展，整个行业有望迎来高速发展期，年均增速有望达到20%以上。我国规划纲要提出要全面提高信息化水平，加快建设宽带、融合、安全、泛在的下一代国家信息基础设施，推动信息化和工业化深度融合，推进经济会各领域信息化。目前在信息安全技术处于领先的国家主要是美国、法国、以色列、英国、丹麦、瑞士等，一方面这些国家在技术上，特别是在芯片技术上有着一定的历史沉积，另一方面在这些国家信息安全技术的应用上例如电子政务、企业信息化等起步较早，应用比较广泛。他们的领先优势主要集中在防火墙、入侵检测、漏洞扫描、防杀毒、身份认证等传统的安全产品上。而在注重防内兼顾防外的信息安全综合强审计上，国内的意识理念早于国外，产品开发早于国外，目前在技术上有一定的领先优势。我国计算机系统遭受病毒感染和破坏的情况相当严重。据江民科技统计，2011年上半年，最为活跃的病毒类型仍旧为木马病毒，其共占据所有病毒数量中60%的比例。其次，分别为蠕虫病毒和后门病毒。这三种类型的病毒共占据所有病毒数量中83%的比例，可见目前网民面临的首要威胁仍旧来自于这三种传统的病毒类型。如图2-2所示：图2-2传播的病毒类型。3.网络安全事件威胁网络安全的事件每时每刻都在发生，有病毒、漏洞、黑客等。下面对熊猫烧香事件进行分析介绍。3.1熊猫烧香事例熊猫烧香是一种经过多次变种的“蠕虫病毒”变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，2007年1月初肆虐网络，它主要通过下载的档案传染。对计算机程序、系统破坏严重。至此，据不完全统计，仅12月份至今，变种数已达90多个，个人用户感染熊猫烧香的已经高达几百万，企业用户感染数还在继续上升。反防毒专家表示，伴随着各大杀毒厂商对“熊猫烧香”病毒的集中绞杀，该病毒正在不断“繁衍”新的变种，密谋更加隐蔽的传播方式。反病毒专家建议，用户不打开可疑邮件和可疑网站，不要随便运行不知名程序或打开陌生人邮件的附件。凡是感染熊猫病毒的机器都会显示病毒图片，如图3-1所示。图3-1 熊猫烧香病毒3.2“熊猫烧香”影响病毒会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件，添加病毒网址，导致用户一打开这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、用户简单密码等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。据悉，多家著名网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。注：江苏等地区成为“熊猫烧香”重灾区。264、网络面临的安全问题在本节中网络安全存在的问题进行分析， 计算机信息网络安全面临来自多方面的信息安全威胁。影响网络安全的因素可能是网络系统本身存在的安全弱点，而系统在使用、管理过程中的失误和疏漏也加剧了问题的严重性。4.1网络系统本身存在的问题1.系统漏洞 网络系统自身存在的安全因素主要是系统漏洞造成的威胁。事实上一个系统漏洞对安全造成的威胁远超于它的直接可能性，假如攻击者获得了对系统的一般用户访问权限，他就极有可能通过系统的漏洞把自己升级为管理员权限。漏洞的产生在于程序在它的实现逻辑中没有考虑到一些意外情况。系统漏洞导致程序处理文件等实体时在时序和同步方面存在问题，在处理的过程中可能存在一个机会窗口使攻击者能够施以外来的影响。 2.移动存储介质 移动存储介质由于其自身具有方便小巧、存储量大、通用性强、易携带等特点，而得到广泛的应用。但是这些特点也给网络系统带来了许多安全隐患。造成网络系统不易管理，尤其是涉密单位移动存储介质的管理。现阶段涉密介质的使用大多缺乏设备登记、身份认证、访问控制和审计机制，这给网络系统的信息安全造成很大的隐患。4.2网络系统外部存在的威胁1.计算机病毒的侵害由于计算机病毒具有蔓延速度快、范围广等特点，是计算机网络系统的最大的威胁，造成的损失难以估计。计算机病毒破坏的对象直接就是计算机系统或者网络系统。一旦计算机感染病毒后，轻则使系统执行效率下降，重则造成系统死机或毁坏，使部分文件或全部数据丢失，甚至造成计算机系统硬件设备等部件的损坏。2.黑客的威胁和攻击黑客具有非常强的计算机网络系统知识，能熟练使用各种计算机技术和软件工具。黑客善于发现计算机网络系统自身存在的系统漏洞。漏洞成为黑客被攻击的目标或利用为攻击的途径，并对网络系统的安全构成了非常大的威胁。目前，在各个国家计算机信息网络上的黑客攻击事件都是愈演愈烈。3.间谍软件的威胁和隐患与计算机病毒不同，间谍软件的主要目的不在于对系统进行破坏，而是窃取计算机信息网络系统存储的各种数据信息。间谍软件具有的功能繁多，它可以监视用户行为，或是发布广告。修改系统设置，威胁用户隐私和计算机安全，并可以不同程度的影响系统性能。4.3网络系统管理制度存在的问题1.违反规章制度而泄密工作中由于对规章制度的不熟悉或者工作疏忽而造成网络系统的安全受到威胁。例如由于不知道移动存储介质上删除的文件还可以还原，将曾经存贮过秘密信息的移动存储设备借出去，从而造成信息的泄露。又如将一台发生故障的计算机送修前，由于存贮于计算机硬盘中的数据缺乏直观性，加以思想麻痹，疏于管理，既不做消磁处理，又不安排专人监修，造成数据的泄露。2.故意泄密故意泄密主要是指能够维护计算机信息网络系统的工作人员故意对网络安全进行破坏的行为。其中：如系统开发人员可以较容易得知计算机系统软件保密措施。获得使用计算机的口令或密钥，从而进入计算机网络，窃取信息系统、数据库内的重要秘密。而对于系统的操作员，可以把计算机保密系统的文件、资料向外提供。4.4网络安全威胁类型4.4.1物理威胁物理安全是一个非常简单的概念，即不允许其他人拿到或看到不属于自己的东西。目前，计算机和网络中所涉及的物理威胁主要有以下几方面：窃取：包括窃取设备、信息和服务等。废物搜寻：是指从已报废的设备（如废弃的硬盘、软盘、光盘、U盘等介质）中搜寻可利用的信息。间谍行为：是指采取不道德的手段来获取有价值的信息的行为。例如，直接打开别人的计算机复制所需要的数据，或利用间谍软件入侵他人的计算机来窃取信息等。假冒：指一个实体假份成另一个实体后，在网络中从事非法操作的行为。这种行为对网络数据构成了巨大的威胁。另外，像电磁辐射或线路干扰也属于物理威胁的范围。4.4.2系统漏洞威胁系统漏洞是指系统存在方法、管理或技术存在的缺点（通常称为bug），而这个缺点可以使系统的安全性降低。目前，系统漏洞主要包括提供商造成的漏洞、开发者造成的漏洞、错误的配置、策略的违背所引发的漏洞等。因此漏洞是方法、管理技术上存在缺陷所造成的。目前，由系统漏洞所造成的威胁主要表现在以下几个方面：不安全服务：指绕过设备的安全系统所提供的服务。由于这种服务不在系统的安全管理范围内，所以会对系统的安全造成威胁。主要有网络蠕虫等。配置和初始化错误：指在系统启动时，其安全策略没有正确初始化，从而留下了安全漏洞。例如，在木马程序修改了系统的安全配置文件时就会发生此威胁。4.4.3有害程序威胁计算机和网络中的有害程序是有相对性的，例如有害程序不是由于恶意目的，但却被恶意利用。有害程序造成的威胁主要包括以下几个方面：病毒：指编制或者计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一级计算机指令或者程序代码。逻辑炸弹：逻辑炸弹是嵌入在某个合法程序里面的一段代码，被设置成当满足某个特定条件时就会发作。特洛伊木马：特洛伊木马是一个包含在一个合法程序中的非法的程序。该非法程序被用户在不知情的情况下被执行。间谍软件：是一种新的安全威胁，它可能在浏览网页或者安装软件时，在不知情的情况下被安装到计算机上。间谍软件一旦安装就会显视计算机的运行，窃取计算机上的重要信息或者记录计算机的软件、硬件设置，严重危害到计算机中的数据和个人隐私。5、网络安全的解决方案计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。5.1网络安全解决技术（一）漏洞扫描技术漏洞扫描技术也就是对计算机系统或者其他网络设备迸行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。漏洞的存在是个客观事实，每个系统都有漏洞。目前，多数攻击者所利用的都是常见的漏洞。如果能够采用适当的工具，就有可能在黑客利用这些漏洞之前，找出网络的薄弱之处。漏洞扫描的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的。漏洞扫描是保证系统和网络安全必不可少的手段。（二）防火墙技术防火墙是网络安全的重要屏障，配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成，处于企业或网络群体计算机与外界通道之间，限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上互联网之后，系统的安全除了考虑计算机病毒、系统的安全性之外，更主要的是防止非法用户的入侵，而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。防火墙技术是设置在被保护网络和外界之间的一道屏障，是通过计算机硬件和软件的组合来建立起一个安全网关，从而保护内部网络免受非法用户的入侵，它可以通过鉴别、限制，更改跨越防火墙的数据流，来实何保证通信网络的安全对今后计算机通信网络的发展尤为重要。现对网络的安全保护。防火墙的组成可以表示为：防火墙= 过滤器+ 安全策略+ 网关，它是一种非常有效的网络安全技术。在Internet 上，通过它来隔离风险区域与安全区域的连接，但不防碍人们对风险区域的访问。防火墙可以监控进出网络的通信数据，从而完成仅让安全、核准的信息进入，同时又抵制对企业构成威胁的数据进入的任务。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、代理型和状态监测型。包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术，工作在网络层。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。但包过滤防火墙的缺点有三：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP 的端口号都在数据包的头部，很有可能被窃听或假冒；三是无法执行某些安全策略。网络地址转化NAT。 “你不能攻击你看不见的东西”是网络地址转换的理论基础。网络地址转换是一种用于把IP 地址转换成临时的、外部的、注册的IP 地址标准。它允许具有私有IP 地址的内部网络访问因特网。当数据包流经网络时，NAT 将从发送端的数据包中移去专用的IP 地址，并用一个伪IP 地址代替。NAT 软件保留专用IP 地址和伪IP 地址的一张地址映射表。当一个数据包返回到NAT 系统，这一过程将被逆转。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。如果黑客在网上捕获到这个数据包，他们也不能确定发送端的真实IP 地址，从而无法攻击内部网络中的计算机。NAT 技术也存在一些缺点，例如：木马程序可以通过NAT 进行外部连接，穿透防火墙。代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品, 它分为应用层网关和电路层网关。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据, 然后再由代理服务器将数据传输给客户机。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部结构的作用，这种防火墙是网络专家公的最安全的防火墙。缺点是速度相对较慢。监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。它是由Check Point 软件技术有限公司率先提出的，也称为动态包过滤防火墙。总的来说，具有：高安全性，高效性，可伸缩性和易扩展性。实际上,作为当前防火墙产品的主流趋势,大多数代理服务器也集成了包过滤技术,这两种技术的混合显然比单独使用具有更大的优势。总的来说，网络的安全性通常是以网络服务的开放性和灵活性为代价的，防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失。除了使用了防火墙后技术，我们还使用了其他技术来加强安全保护，数据加密技术是保障信息安全的基石。所谓数据加密技术就是使用数字方法来重新组织数据，使得除了合法受者外，任何其他人想要恢复原先的“消息”是非常困难的。目前最常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是指同时运用一个密钥进行加密和解密，非对称加密技术就是加密和解密所用的密钥不一样。（三）数据加密与用户授权访问控制技术数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换是受“密钥”控制的。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击，虽无法避免，但却可以有效地检测；而对于被动攻击，虽无法检测，但却可以避免，实现这一切的基础就是数据加密。在传统的加密算法中，加密密钥与解密密钥是相同的，或者可以由其中一个推知另一个，称为“对称密钥算法”。用户授权访问控制主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。与防火墙相比，数据加密与用户授权访问控制技术比较灵活，更加适用于开放的网络。（四）管理制度应对策略在计算机网络系统中，绝对的安全是不存在的。制定健全的安全管理体制是计算机网络安全的重要保证。只有通过网络管理人员与使用人员的共同努力，运用一切可以使用的工具和技术，尽一切可能去控制、减小一切非法的行为，尽可能地把不安全的因素降到最低。同时，要不断地加强计算机信息网络的安全规范化管理力度，大力加强安全技术建设。强化使用人员和管理人员的安全防范意识。只有共同努力才能使计算机网络的安全可靠得到保障，从而使广大网络用户的利益得到保障。（五）物理安全策略物理安全策略目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止用户越权操作；确保计算机系统有一个良好的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种偷窃、破坏活动的发生。物理安全策略还包括加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。网络安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。（六）网络加密技术由于网络所带来的诸多不安全因素，使得网络使用者必须采取相应的网络安全技术来堵塞安全漏洞和提供安全的通信服务。如今，快速发展的网络安全技术能从不同角度来保证网络信息不受侵犯，网络安全的基本技术主要包括网络加密技术、防火墙技术、操作系统安全内核技术、身份验证技术、网络防病毒技术。网络加密技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。网络信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密，端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全；端点加密的目的是对源端用户到目的端用户的数据提供加密保护；节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式。信息加密过程是由形形色色的加密算法来具体实施的，它以很小的代价提供很牢靠的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方的密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。在实际应用中，人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES 或者IDEA 来加密信息，而采用RSA 来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码算法和分组密码算法，前者每次只加密一个比特。（七）操作系统安全内核技术操作系统安全内核技术除了在传统网络安全技术上着手，人们开始在操作系统的层次上考虑网络安全性，尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去，从而使系统更安全。操作系统平台的安全措施包括：采用安全性较高的操作系统；对操作系统的安全配置；利用安全扫描系统检查操作系统的漏洞等。美国国防部技术标准把操作系统的安全等级分成了D1、C1、C2、B1、B2、B3、A 级，其安全等级由低到高。目前主要的操作系统的安全等级都是C2 级,其特征包括：用户必须通过用户注册名和口令让系统识别；系统可以根据用户注册名决定用户访问资源的权限；系统可以对系统中发生的每一件事进行审核和记录；可以创建其他具有系统管理权限的用户。（八）身份验证技术身份验证技术身份验证技术身份验证技术是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节，人们常把这两项工作统称为身份验证。它的安全机制在于首先对发出请求的用户进行身份验证，确认其是否为合法的用户，如是合法用户，再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲，其身份验证是建立在对称加密的基础上的。为了使网络具有是否允许用户存取数据的判别能力，避免出现非法传送、复制或篡改数据等不安全现象，网络需要采用的识别技术。常用的识别方法有口令、唯一标识符、标记识别等。口令是最常用的识别用户的方法，通常是由计算机系统随机产生，不易猜测、保密性强，必要时，还可以随时更改，实行固定或不固定使用有效期制度，进一步提高网络使用的安全性；唯一标识符一般用于高度安全的网络系统，采用对存取控制和网络管理实行精确而唯一的标识用户的方法，每个用户的唯一标识符是由网络系统在用户建立时生成的一个数字，且该数字在系统周期内不会被别的用户再度使用；标记识别是一种包括一个随机精确码卡片（如磁卡等）的识别方式，一个标记是一个口令的物理实现，用它来代替系统打入一个口令。一个用户必须具有一个卡片，但为了提高安全性，可以用于多个口令的使用。（九）网络防病毒技术在网络环境下，计算机病毒具有不可估量的威胁性和破坏力。CIH 病毒及爱虫病毒就足以证明如果不重视计算机网络防病毒，那可能给社会造成灾难性的后果，因此计算机病毒的防范也是网络安全技术中重要的一环。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测，工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。防病毒必须从网络整体考虑，从方便管理人员的能，在夜间对全网的客户机进行扫描，检查病毒情况；利用在线报警功能，网络上每一台机器出现故障、病毒侵入时，网络管理人员都能及时知道，从而从管理中心处予以解决。访问控制也是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段，可以说是保证网络安全最重要的核心策略之一。它主要包括：身份验证、存取控制、入网访问控制、网络的权限控制、目录级安全控制、属性安全控制等。计算机信息访问控制技术最早产生于上世纪60年代，随后出现了两种重要的访问控制技术，自主访问控制和强制访问控制。随着网络的发展，为了满足新的安全需求，今年来出现了以基于角色的访问控制技术,基于任务的访问控制。5.3普及计算机网络安全教育随着计算机技术和网络技术已深入到社会各个领域，人类社会各种活动对计算机网络的依赖程度已经越来越大。增强社会安全意识教育，普及计算机网络安全教育，提高计算机网络安全技术水平，改善其安全现状，成为当务之急。在信息安全高度发展的美国，已将信息安全的发展提高到国家战略的高度，并制定了一整套网络安全战略及实施办法。尤其是“9.11”事件后，美国站在反恐的高度全面发展各种各样的信息安全技术，举国上下安全大设防。据了解，我国在开展信息安全保障体系研究方面起步相对较晚，与其他国家和地区，如美国、俄罗斯、德国，我国台湾地区等相比，无论在网络安全意识还是网络安全防护技术等方面都还存在差距。有报道，由国信办网络与信息安全组和信息安全国家重点实验室在北京联合召开了“信息安全保障发展战略”研讨会。就如何加强我国信息安全战略保障体系，专家们提出了要增强四个能力：一是要增强信息安全的防护能力；二是要增强系统隐患的发现能力；三是要增强网络的应急响应能力；四是要增强信息安全的对抗能力。除此，目前我国有关部门正在起草或修订保密法、电子政务公开法、电子签章法、个人数据保护法，这些法律的制定和网络安全基础设施的逐步完善，必将为构筑我国信息安全战略起到很大的保障作。在此基础上，进一步加强人们的网络安全意识，是确实不可忽略的一个重要因素。目前，大多数人们普遍对网络安全问题和潜在的风险认识不到位，自我保护和防范措施不得力，人们的安全意识不够强。大多数人们认为安装了防火墙和防病毒软件就算建立了网络安全体系。即使考虑了安全，也只是把安全机制建立在物理连接上。有专家指出，这种网络安全思路，与现有网络安全所面临的严峻威胁和种种隐患是远远不够的。究其原因，一是我国网络安全保护技术和产品的研究、开发及应用相对滞后；二是人们的安全意识还没有真正到位，对现有网络存在的问题认识不足。从有关资料显示，国外研制出的计算机“接收还原设备”，可以在数百米、甚至数公里的距离内接收任何一台未采取保护措施的计算机屏幕信息。这则信息也许有人会认为是耸人听闻、不可能的事,但随着计算机技术的发展,任何不可能发生的事情都有可能发生。网络安全，重在要加强人们的安全意识。从诸多网络安全潜在的威胁来说，如果人们树立了较强的安全意识，可以减少或相对削弱来自不同方面的威胁，避免和阻止对网络造成的损失。然而，目前网络安全比较突出的问题是：人们的安全意识不强，在我们身边不遵守规章制度、不按操作程序办事的行为时有发生。要确实保障网络安全，除要靠技术手段、规章制度外，还需要努力去唤醒社会公众的安全意识。要使大家能清醒的认识到：网络的开放互联性可以让接入到因特网中的主机都有可能成为被攻击或入侵的对象，使他们在工作中尽可能地避免一些不该发生的失误。如：误操作、误删除、在内网和外网衔接上不按安全程序运作等行为，从而减少非人为主观上给网络安全和网络系统带来的损失。加强网络安全，重在增强人们的防范能力。正如美国最著名的前黑客专家凯文米蒂尼克所言，计算机安全问题最薄弱的环节不是机器本身，而是人。因为无论干什么事，人是成功的第一保证要素，网络安全也是这样。不论多么高级先进的计算机网络设备，总是需要人来操作完成。能否充分发挥网络安全功能，能否最大限度减少网络安全隐患，能否在第一时间内堵塞、抗击外来入侵，关键在于网络管理人员及操作人员，是否具有较强的防范意识和娴熟的防范技能。有人把网络安全比作是网络的生存之本，这个比喻说明网络安全与网络发展相互之间的依赖关系。在未来网络系统逐步朝着网络信息安全管理标准化、规范化和网络信息安全基础设施得到完善的基础上，只有人们具备了较强的安全意识，网络安全才得以保障。由此，加强人们的网络安全意识，不但是网络发展的客观需求，也是保障网络安全的实际需求。5.4有关网络安全政策的法律法规作为全球信息化程度最高的国家，美国非常重视信息系统安全，把确保信息系统安全列为国家安全战略最重要的组成部分之一，采取了一系列旨在加强网络基础架构保密安全方面的政策措施。因此，要保证网络安全有必要颁布网络安全法律，并增加投入加强管理，确保信息系统安全。除此之外，还应注重普及计算机网络安全教育，增强人们的网络安全意识。 针对我国加强对计算机病毒的预防和治理，保护计算机信息系统安全，保障计算机的应用与发展。不仅在硬件与软件方面有采用措施外在法律上也有网络监察方面的法律依据，在中华人民共和国计算机信息系统安全保护条例和