毕业设计撰写要求及范文.doc

毕业设计（论文）要求:1,论文的主要内容及装订顺序:1封面(中英文题目,作者信息)2任务书下达页3指导教师评语页4答辩记录页5目录6中文内容摘要(300字以内),关键词(35个)7正文(三级小标题:章,节,小点)8参考文献(至少15本书或15篇文章其中要有3篇英文的,格式参考学院统一要求)9致谢2,格式要求1文稿用word文件(页面A4),统一用宋体排版. 页面设置: 纸型:A4标准纸 方向:纵向页边距:左3cm 右2.8cm;上,下边距为默认值:上2.54cm 下2.54cm 页眉1.5cm,页脚1.75cm格式:正文各段落首行缩进2字符，正文行距:(多倍行距)1.25倍 字号:中文题目:3号字 中文内容摘要,关键词,参考文献:5号字其他全部:小4号字 2图表要求:图面整洁,布局合理,线条粗细均匀,弧线连接光滑,尺寸标注规范,符合制图标准.插图和表格均需有编号和标题,图标题为5号字,表标题为小4号.如:表一 学生学习情况调查表图1 相轨迹图5,曲线,图表要求:所有曲线,图表,线路图,程序框图,示意图等不得简单徒手画,必须按工程要求绘制.3,字数要求:1 专科论文字数不得少于6000字.2）、封面和范文如下：毕业设计设计（论文）题目：论当前企业网络存在的安全问题与解析 专 业 班 级： XXXX 学 生 姓 名： XXXX 指 导 教 师： 陈顺立 邓荣 顾佳 设 计 时 间： 2012年5月14日-6月10日 重庆工程职业技术学院重庆工程职业技术学院毕业设计（论文）任务书任务下达日期：XXXX设计（论文）题目：论当前企业网络存在的安全问题及其解析设计（论文）主要内容和要求： 内容：浅析网络安全问题，从网络安全系统策略与设计目标的确立出发，依据企业网络安全策略设计,构建相对比较全面的企业网络安全体系，并参照设计、构建的企业网络安全体系，给出了一个较全面的企业网络安全解决方案。 要求：内容翔实，条理清晰、论证逻辑强，论文格式正确，所得结论借鉴性强，对人们生产生活和企业网络的建设具有一定的参考价值和指导意义。教研室主任签字： 指导教师签字：年 月 日 年 月 日重庆工程职业技术学院毕业设计（论文）指导教师评语评语：成绩：指导教师签名： 年 月 日重庆工程职业技术学院毕业设计（论文）答辩记录学生姓名XXX系别信息工程学院专业班级XXXX设计（论文）题目论当前企业网络存在的安全问题及其解析说明书共 X页，图纸共 X答 辩 情 况提 出 问 题回 答 问 题正确基本正确有一般性错误有原则性错误回答不清12345678答辩委员会评语及建议成绩：答辩委员会主任：年 月 日目录摘要：1一、分析当前的信息安全问题，有十五个典型的信息安全问题急需解决。11.1网络共享与恶意代码防控11.2信息化建设超速与安全规范不协调21.3信息产品国外引进与安全自主控制21.4 IT产品单一性和大规模攻击问题21.5 IT产品类型繁多和安全管理滞后矛盾21.6 IT系统复杂性和漏洞管理31.7网络攻击突发性和防范响应滞后31.8口令安全设置和口令易记性难题41.9远程移动办公和内网安全41.10内外网络隔离安全和数据交换方便性41.11业务快速发展与安全建设滞后51.12网络资源健康应用与管理手段提升51.13信息系统用户安全意识差和安全整体提高困难51.14安全岗位设置和安全管理策略实施难题61.15信息安全成本投入和经济效益回报可见性6二、信息安全建设8步骤7三、企业网络安全风险状况概述 。8四、企业网络安全体系结构的设计与构建 。94.1企业网络安全系统设计目标94.2企业网防火墙的部署104.2.1安全策略。104.2.2系统设计。104.2.3入侵检测系统的设计和部署。104.2.4企业网络安全体系实施阶段。10五、阐述信息网络安全内涵发生的根本变化。115.1防火墙125.1.1包过滤型145.1.2网络地址转化NAT145.1.3代理型155.1.4监测型16六、网络安全的技术保障与法律保障176.1网络安全问题的提出176.2防火墙的作用186.3 防止易受攻击的服务186.4控制访问网点系统196.5集中安全性196.6 增强的保密206.7 有关网络使用、滥用的记录和统计206.8 防火墙存在的问题206.9限制利用合乎需要的服务216.10 后门访问的广泛可能性216.11几乎不能防护内部人员的攻击216.12其他问题216.13法律保障的措施226.13.1加强国际互联网出入信道的管理236.13.2 市场准入制度必须具备的条件：236.13.3 安全责任23七、企业网络信息安全信息保障247.1国外企业信息安全现状257.2国内企业网络信息安全现状分析257.3企业网络信息系统安全对策分析26结语 :29参考文献30 摘要：随着互联网技术的发展，在企业中运用计算机网络进行各项工作更加的深入和普及，本文通过对企业网络特点及所面临安全风险的分析，从网络安全系统策略与设计目标的确立出发，制定与讨论了多种企业网络安全策略；以期对促进当前我国企业网络普遍应用情况下，企业网络安全问题的解决有所贡献。随着互联网技术的发展，在企业中运用计算机网络进行各项工作更加的深入和普及，通过企业网络向师生提供高效、优质、规范、透明和全方位的信息服务，冲破了人与人之间在时间和空间分隔的制约，越来越被更多的人们所接受和应用。然而由于企业网络自身的特点，使安全问题在企业网络的运行与管理中格外突出，研究构建、完善基于企业网的信息安全体系，对企业网安全问题的解决具有重要意义。 关键字：信息 网络 研究 安全一、分析当前的信息安全问题，有十五个典型的信息安全问题急需解决。目前，许多企事业单位的业务依赖于信息系统安全运行，信息安全重要性日益凸显。信息已经成为各企事业单位中的重要资源，也是一种重要的“无形财富”，分析当前的信息安全问题，有十五个典型的信息安全问题急需解决。1.1网络共享与恶意代码防控 1网络共享方便了不同用户、不同部门、不同单位等之间的信息交换，但是，恶意代码利用信息共享、网络环境扩散等漏洞，影响越来越大。如果对恶意信息交换不加限制，将导致网络的QoS下降，甚至系统瘫痪不可用。1.2信息化建设超速与安全规范不协调网络安全建设缺乏规范操作，常常采取“亡羊补牢”之策，导致信息安全共享难度递增，也留下安全隐患。1.3信息产品国外引进与安全自主控制国内信息化技术严重依赖国外，从硬件到软件都不同程度地受制于人。目前， 国外厂商的操作系统、数据库、中间件、办公文字处理软件、浏览器等基础性软件都大量地部署在国内的关键信息系统中，但是这些软件或多或少存在一些安全漏 洞，使得恶意攻击者有机可乘。目前，我们国家的大型网络信息系统许多关键信息产品长期依赖于国外，一旦出现特殊情况，后果就不堪设想。1.4 IT产品单一性和大规模攻击问题信息系统中软硬件产品单一性，如同一版本的操作系统、同一版本的数据库软件等，这样一来攻击者可以通过软件编程，实现攻击过程的自动化，从而常导致大规模网络安全事件的发生，例如网络蠕虫、计算机病毒、“零日”攻击等安全事件。1.5 IT产品类型繁多和安全管理滞后矛盾目前，信息系统部署了众多的IT产品，包括操作系统、数据库平台、应用系统。但是不同类型的信息产品之间缺乏协同，特别是不同厂商的产品，不仅产品 之间安全管理数据缺乏共享，而且各种安全机制缺乏协同，各产品缺乏统一的服务接口，从而造成信息安全工程建设困难，系统中安全功能重复开发，安全产品难以 管理，也给信息系统管理留下安全隐患。1.6 IT系统复杂性和漏洞管理多协议、多系统、多应用、多用户组成的网络环境，复杂性高，存在难以避免的安全漏洞。据SecurityFocus公司的漏洞统计数据表明，绝大部 分操作系统存在安全漏洞。由于管理、软件工程难度等问题，新的漏洞不断地引入到网络环境中，所有这些漏洞都将可能成为攻击切入点，攻击者可以利用这些漏洞 入侵系统，窃取信息。 1998年2月份，黑客利用Solar Sunrise漏洞入侵美国国防部网络，受害的计算机数超过500台，而攻击者只是采用了中等复杂工具。当前安全漏洞时刻威胁着网络信息系统的安全。为了解决来自漏洞的攻击，一般通过打补丁的方式来增强系统安全。但是，由于系统运行不可间断性及漏洞修补风险不可确定性，即使发现网络系统存在安全 漏洞，系统管理员也不敢轻易地安装补丁。特别是，大型的信息系统，漏洞修补是一件极为困难的事。因为漏洞既要做到修补，又要能够保证在线系统正常运行。1.7网络攻击突发性和防范响应滞后网络攻击者常常掌握主动权，而防守者被动应付。攻击者处于暗处，而攻击目标则处于明处。以漏洞的传播及利用为例，攻击者往往先发现系统中存在的漏洞，然后开发出漏洞攻击工具，最后才是防守者提出漏洞安全对策。1.8口令安全设置和口令易记性难题在一个网络系统中，每个网络服务或系统都要求不同的认证方式，用户需要记忆多个口令，据估算，用户平均至少需要四个口令，特别是系统管理员，需要记 住的口令就更多，例如开机口令、系统进入口令、数据库口令、邮件口令、Telnet口令、FTP口令、路由器口令、交换机口令等。按照安全原则，口令设置 既要求复杂，而且口令长度要足够长，但是口令复杂则记不住，因此，用户选择口令只好用简单的、重复使用的口令，以便于保管，这样一来攻击者只要猜测到某个 用户的口令，就极有可能引发系列口令泄露事件。1.9远程移动办公和内网安全随着网络普及，移动办公人员在大量时间内需要从互联网上远程访问内部网络。由于互联网是公共网络，安全程度难以得到保证，如果内部网络直接允许远程 访问，则必然带来许多安全问题，而且移动办公人员计算机又存在失窃或被非法使用的可能性。“既要使工作人员能方便地远程访问内部网，又要保证内部网络的安 全。”就成了一个许多单位都面临的问题。1.10内外网络隔离安全和数据交换方便性由于网络攻击技术不断增强，恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统，窃取数据或恶意破坏数据。同时，内部网的 用户因为安全意识薄弱，可能有意或无意地将敏感数据泄漏出去。为了实现更高级别的网络安全，有的安全专家建议，“内外网及上网计算机实现物理隔离，以求减 少来自外网的威胁。”但是，从目前网络应用来说，许多企业或机构都需要从外网采集数据，同时内网的数据也需要发布到外网上。因此，要想完全隔离开内外网并 不太现实，网络安全必须既要解决内外网数据交换需求，又要能防止安全事件出现。1.11业务快速发展与安全建设滞后在信息化建设过程中，由于业务急需要开通，做法常常是“业务优先，安全靠边”，使得安全建设缺乏规划和整体设计，留下安全隐患。安全建设只能是“亡 羊补牢”，出了安全事件后才去做。这种情况，在企业中表现得更为突出，市场环境的动态变化，使得业务需要不断地更新，业务变化超过了现有安全保障能力。1.12网络资源健康应用与管理手段提升复杂的网络世界，充斥着各种不良信息内容，常见的就是垃圾邮件。在一些企业单位中，网络的带宽资源被员工用来在线聊天，浏览新闻娱乐、股票行情、色 情网站，这些网络活动严重消耗了带宽资源，导致正常业务得不到应有的资源保障。但是，传统管理手段难以适应虚拟世界，网络资源管理手段必须改进，要求能做 到 “可信、可靠、可视、可控”。1.13信息系统用户安全意识差和安全整体提高困难目前，普遍存在“重产品、轻服务，重技术、轻管理，重业务、轻安全”的思想，“安全就是安装防火墙，安全就是安装杀毒软件”，人员整体信息安全意识不平衡，导致一些安全制度或安全流程流于形式。典型的事例如下：* 用户选取弱口令，使得攻击者可以从远程直接控制主机；* 用户开放过多网络服务，例如，网络边界没有过滤掉恶意数据包或切断网络连接，允许外部网络的主机直接“ping”内部网主机，允许建立空连接；* 用户随意安装有漏洞的软件包；* 用户直接利用厂家缺省配置；* 用户泄漏网络安全敏感信息，如DNS服务配置信息。1.14安全岗位设置和安全管理策略实施难题根据安全原则，一个系统应该设置多个人员来共同负责管理，但是受成本、技术等限制，一个管理员既要负责系统的配置，又要负责安全管理，安全设置和安全审计都是“一肩挑”。这种情况使得安全权限过于集中，一旦管理员的权限被人控制，极易导致安全失控。1.15信息安全成本投入和经济效益回报可见性由于网络攻击手段不断变化，原有的防范机制需要随着网络系统环境和攻击适时而变，因而需要不断地进行信息安全建设资金投入。但是，一些信息安全事件 又不同于物理安全事件，信息安全事件所产生的经济效益往往是间接的，不容易让人清楚明白，从而造成企业领导人的误判，进而造成信息安全建设资金投入困难。 这样一来，信息安全建设投入往往是“事后”进行，即当安全事件产生影响后，企业领导人才会意识安全的重要性。这种做法造成信息安全建设缺乏总体规划，基本 上是 “头痛医头，脚痛医脚”，信息网络工作人员整天疲于奔命工作，成了“救火队员”。二、信息安全建设8步骤信息安全建设是一个循序渐进、逐步完善提升的过程，信息安全建设大致来说要经历三个阶段：基本阶段、规范阶段、改进完善阶段。每个阶段在信息安全组织、信息安全管理、信息安全措施上都有所侧重，主要在安全组织健全程度、安全管理规范性、安全技术措施严密性等方面表现出来。信息安全建设是一个复杂的系统工程 ，一般来说，信息安全工程包含八个基本环节和步骤。第一步，分析信息网络系统所承载的业务和基本安全目标。第二步，在所管辖的信息网络范围内，进行信息网络安全风险评估，建立信息网络资产清单，识别信息网络资产的威胁和脆弱性，确定信息网络资产的风险类型和保护等级。第三步，根据信息网络资产的风险类型和保护等级，制定合适的安全策略和安全防护体系。第四步，根据信息网络的安全策略，设计安全防范机制，选择风险控制的目标，实现风险控制管理。第五步，将信息安全建设工作分解为若干个信息安全工程项目。典型项目有漏洞扫描和安全风险评估项目、用户统一认证和授权管理项目、网络防病毒项目、 桌面机集中安全管理项目、服务器安全增强项目、网络安全监控项目、网络边界防护项目、远程安全通信项目、网络内容管理项目、补丁管理项目、系统和数据容灾 备份项目。第六步，根据信息安全工程项目要求，制定实施计划，调整信息网络结构和重新安全配置，部署选购合适的安全产品；制定相应信息网络安全管理制度、操作规程以及法律声明。第七步，对信息安全工程项目进行验收，检查信息网络的安全风险是否已经得到有效控制； 检查信息网络的安全保障能力是否达到业务安全要求。第八步，验收后，工程项目建设成果正式交付运行； 并根据安全控制系统的实际运行情况，及时调整安全策略，改进安全控制措施。三、企业网络安全风险状况概述 。企业网络是在企业范围内，在一定的思想和理论指导下，为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加，如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样，企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中，由于对技术的偏好和运营意识的不足，普遍都存在”重技术、轻安全、轻管理”的倾向，随着网络规模的急剧膨胀，网络用户的快速增长，关键性应用的普及和深入，企业网络在企业的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体，如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题，解决网络安全问题刻不容缓，并且逐渐引起了各方面的重视。由于Internet上存在各种各样不可预知的风险，网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺，很少考虑实际存在的风险和低效率，很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。因此，在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对网络通讯进行有效的过滤，使必要的服务请求到达主机，对不必要的访问请求加以拒绝。 四、企业网络安全体系结构的设计与构建 。网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系，是动态加静态的防御，是被动加主动的防御甚至抗击，是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题，需要有一个科学、系统、全面的网络安全结构体系。 4.1企业网络安全系统设计目标 企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中，信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制，网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。4.2企业网防火墙的部署4.2.1安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务，除非是必须的服务才被允许。 4.2.2系统设计。在互联网与企业网内网之间部署了一台硬件防火墙，在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”，是为不信任系统提供服务的孤立网段，它阻止内网和外网直接通信以保证内网安全)，与内网和外网间进行隔离，内网口连接企业网，外网口通过电信网络与互联网连接。 4.2.3入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵，在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统，与防火墙并行的接入网络中，监测来自互联网、企业网内部的攻击行为。发现入侵行为时，及时通知防火墙阻断攻击源。 4.2.4企业网络安全体系实施阶段。第一阶段:基本安全需求。第一阶段的目标是利用已有的技术，首先满足企业网最迫切的安全需求，所涉及到的安全内容有: 满足设备物理安全 VLAN与IP地址的规划与实施制定相关安全策略内外网隔离与访问控制内网自身病毒防护系统自身安全相关制度的完善 第二阶段：较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下，全面实现整个企业网络的安全需求。所涉及的安全内容有:入侵检测与保护身份认证与安全审计流量控制内外网病毒防护与控制动态调整安全策略 第三阶段:后续动态的安全系统调整与完善。相关安全策略的调整与完善以及数据备份与灾难恢复等。在上述分析、比较基础上，我们利用现有的各种网络安全技术，结合企业网的特点，依据设计、构建的企业网络安全体系，成功构建了企业网络安全解决方案，对本研究设计、构建的企业网络安全体系的实践应用具有重要的指导意义。五、阐述信息网络安全内涵发生的根本变化。 21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。 一个国家的信息安全体系实际上包括国家的法规和政策，以及技术与市场的发展平台。我国在构建信息防卫系统时，应着力发展自己独特的安全产品，我国要想真正解决网络安全问题，最终的办法就是通过发展民族的安全产业，带动我国网络安全技术的整体提高。 网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会个方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。 信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。5.1防火墙 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。 目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。 自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统，提出了防火墙概念后，防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。 防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。 作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。 根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、代理型和监测型。 5.1.1包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。 5.1.2网络地址转化NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。 NAT的工作过程： 在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。 5.1.3代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。 5.1.4监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品 虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。 实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。六、网络安全的技术保障与法律保障6.1网络安全问题的提出 早期计算机网络的作用，是共享数据并促进大学、政府研究和开发机构、军事部门的科学研究工作。那时 制定的网络协议，几乎没有注意到安全性问题。因为许可进入网络的单位都被认定为是可靠的和可以信赖的， 并且已经参与研究和共享数据。然而，当1991年美国国家科学基金会(NSF)取消了互联网上不允许商业活动的限 制后，越来越多的公司、企业、商业机构、银行和个人进入互联网络，利用其资源和服务进行商业活动，网络 安全问题就突现出来。每个厂商都有一些不能为外人或竞争者知道的信息和数据，如特定的单证、交易金额、 销售计划、客户名单等，他们不希望外部用户访问这些信息和数据。但是，计算机窃贼或破坏者却千方百计闯 入互联网络和主计算机，盗用数据、破坏资源、制造事端。有时，善意的用户也可能会在网络中偶然获取到厂 商暴露的信息和数据，尤其是在某些计算机系统缺乏安全保障措施时。在这种情况下，计算机网络安全技术应 运而生，以满足这种发展中的需要，使得网络用户在获取同全球网络连接的好处的同时，保证其专用信息及资 产的安全。 一个良好的网络安全系统，不仅应当能够防范恶意的无关人员，而且应当能够防止专有数据和服务程序的 偶然泄露，同时不需要内部用户都成为安全专家。设置这样一个系统，用户才能够在其内部资源得到保护的安 全环境下，享受访问公用网络的好处。 目前，互联网上使用的基本安全系统是防火墙系统，配合使用的还有数据加密技术和智能卡技术。本文着 重分析防火墙系统的作用和存在的问题，并试图从法律角度提出若干保障措施以弥补技术保障措施的不足。 6.2防火墙的作用 防火墙(Firewall)是一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合、使互联网(Int ernet)与内部网(Intranet)之间建立起一个安全网关(Security Gateway)，从而保护内部网免受非法用户的侵 入。防火墙主要由服务访问政策、验证工具、包过滤和应用网关四个部分组成。 防火墙方法有助于提高计算机主系统总体的安全性，因而可使联网用户获得许多好处。 6.3 防止易受攻击的服务 防火墙通过包过滤路由器过滤不安全的服务来降低子网上主系统所冒的风险。因为包过滤路由器只允许经 过选择的协议通过防火墙，因此，子网网络环境可经受较少的外部攻击。 例如，防火墙可以禁止某些易受攻击的服务（如NFS）进入或离开受保护的子网。这样得到的好处是可以防 护这些服务不会被外部攻击者利用，而同时允许在大大降低外部攻击者利用的风险情况下使用这些服务。对局 域网特别有用的服务如NIS或NFS因而可得到共用，并用来减轻主系统的管理负担。 防火墙还可以防护基于路由选择的攻击，如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网 点。防火墙可以排斥所有源点发送的包和ICMP改向，然后把偶发事件通知管理人员。 6.4控制访问网点系统 防火墙还有能力控制对网点系统的访问。例如，某些主系统可以由外部网络访问，而其他主系统则能有效 地封闭起来，防止非法访问。除了邮件服务器或信息服务器等特殊情况外，网点可以防止外部对其主系统的访 问。其他的访问政策也都可以通过防火墙程序的设计加以执行。 6.5集中安全性 对一个机构来说，防火墙实际上可能并不昂贵，因为所有的或大多数经过修改的软件和附加的安全性软件 都放在防火墙系统上，而不是分散在很多主系统上。尤其是一次性口令系统和其他附加验证软件都可以放在防 火墙上，而不是放在每个需要从Internet访问的系统上。 其他的网络安全性解决方案，如Kerberos(NIST94C)要对每个主系统进行修改。尽管Kerberos和其他技术有 许多优点值得考虑，而且在某些情况下比防火墙适实用，但是防火墙往往更便于实施，因为只有防火墙需要运 行专门的软件。 6.6 增强的保密 保密对某些网点是非常重要的，因为一般被认为无关大局的信息实际上常含有对攻击者有用的线索。使用 防火墙后，某些网点希望封锁某些服务，如Finger和域名服务。Finger显示有关用户的信息，如最后注册时间 、邮件有没有被访问等等。但是，Finger也可能把有关用户的信息泄露给攻击者，所以，防火墙系统不可缺少 。 防火墙还可以用来封锁有关网点系统DNS信息。因此，网点系统名字和IP地址都不必提供给Internet主系统 。有些网点认为，通过封锁这种信息，它们正在把对攻击者有用的信息隐藏起来。 6.7 有关网络使用、滥用的记录和统计 如果对Internet的往返访问都通过防火墙，那么，防火墙可以记录各次访问，并提供有关网络使用率的有 价值的统计数字。如果一个防火墙能在可疑活动发生时发出音响警报，则还可以提供防火墙和网络是否受到试 探或攻击的细节，并确定防火墙上的控制措施是否得当。网络使用率统计数字之所以重要，还因为它可作为网 络需求研究和风险分析的依据。 6.8 防火墙存在的问题 尽管防火墙方案有上述这些优点，但它不一定是Internet安全性问题的灵丹妙药，因为其本身也存在许多 缺点，而且有很多事情是防火墙所不能防护的。 6.9限制利用合乎需要的服务 防火墙最明显的缺点是它可能封锁用户所需的某些服务，如TELNET、FTP、XWindows、NFS等。但这一缺点 并不是防火墙所独有的。对主系统的多级限制也会产生这个问题。一个能使安全性要求同用户需要保持平衡的 、规划得当的安全性政策可以大大有助于缓解与减少利用服务有关的问题。 6.10 后门访问的广泛可能性 防火墙不能防护从后门进入网点。例如，如果对调制解调器不加限制，仍然许可访问由防火墙保护的网点 ，那么，攻击者可以有效地跳过防火墙。调制解调器的速度现在快到足以使SLIP（串行线IP）和PPP（点对点协 议）切实可行。在受保护子网内SLIP和PPP连接在本质上是另一个网络连接点和潜在的后门。如果允许调制解调 器从后门访问，那么，前门的防火墙又有什么用呢？ 6.11几乎不能防护内部人员的攻击 虽然防火墙可以用来防护局外人获取灵敏的数据，但它不能防止内部人员将数据拷贝到磁带上，并把数据 带出设施。因此，认为有了防火墙就可以防护内部人员的攻击是错误的。如果忽略其他窃取数据或攻击系统的 手段，把大量资源存放在防火墙上也是不明智的。 6.12其他问题 新的信息服务器和客户机新的信息服务器和客户机，如World Wide Web(WWW)、Gopher、WAIS等，不宜 实施防火墙政策，很有可能遭到数据驱动的攻击。因为这些微机处理的数据可能包含发出的各种指令，这些指 令可能告诉攻击者更改访问控制和主系统上与安全有关的重要文件。 MBONE视频和话音用多址IP传输封装在其他信息包内，防火墙一般在不检查包内容的情况下将这些信息 包转发出去。如果信息包含有更改安全性控制措施并认可入侵者的命令的话，那么，MBONE传输就是一种潜在的 威胁。 病毒防火墙不能防止用户从Internet归档文件中下装受病毒感染的个人机程序，或把这些程序附加到 电子函件上传输出去。由于这些程序可能以各种方法编码或压缩，因而防火墙不能精确地对这些程序进行扫描 来搜寻病毒特征。病毒问题仍然存在，而且必须用其他政策和抗病毒控制措施进行处理。吞吐量防火墙是 一种潜在的瓶颈，所有的连接都必须通过防火墙，许多信息都要经过检查，信息的传递可能要受到传输速率的 影响。 集中性防火墙系统把安全性集中在一点上，而不是把它分布在各系统间，防火墙受损可能会对子网上 其他保护不力的系统造成巨大的损害。 6.13法律保障的措施法律保障的措施很明显，单纯的技术保障措施难以完全保证网络运行的安全，相应的法律保 障措施必不可少。目前。各国政府纷纷出台各种法律规定，规范网络行为，以保证网络体系的整体安全。我们 政府也已颁布了中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机网络国际联网管 理暂行规定等一系列安全法规。认真落实这些强制性的安全措施，就能够为计算机信息系统提供良好的运作 环境。 6.13.1加强国际互联网出入信道的管理 中华人民共和国计算机网络国际联网管理暂行规定规定，我国境内的计算机互联网必须使用国家公用 电信网提供的国际出入信道进行国际联网。任何单位和个人不得自行建立或者使用其他信道进行国际联网。除 国际出入口局作为国家总关口外，邮电部还将中国公用计算机互联网划分为全国骨干网和各省、市、自治区接 入网进行分层管理，以便对入网信息进行有效的过滤、隔离和监测。 6.13.2 市场准入制度必须具备的条件： (1)是依法设立的企业法人或者事业单位； (2)具备相应的计算机信息网络、装备以及相应的技术人员和管理人员； (3)具备健全的安全保密管理制度和技术保护措施； (4)符合法律和国务院规定的其他条件。 中华人民共和国计算机信息系统安全保护条例规定，进行国际联网的计算机信息系统，有计算机信息 系统的使用单位报省级以上的人民政府公安机关备案。 6.13.3 安全责任 从事国际互联网业务的单位和个人，应当遵守国家有关法律、行政法规、严格执行安全保密制度，不得利 用国际互联网从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、查阅、复制和传播妨碍社会治安 的信息和淫秽色情等信息。 计算机网络系统运行管理部门必须设有安全组织或安全负责人，其基本职责包括：保障本部门计算机网络 的安全运行；制定安全管理的方案和规章制度；定期检察安全规章制度的执行情况，负责系统工作人员的安全 教育和管理；收集安全记录，及时发现薄弱环节并提出改进措施；向安全监督机关和上一级主管部门报告本系 统的安全情况。 每个工作站和每个终端都要建立健全网络操作的各项制度，加强对内部操作人员的安全教育和监督，严格 网络工作人员的操作职责，加强密码、口令和授权的管理，及时更换有关密码、口令，重视软件和数据库的管 理和维护工作，加强对磁盘文件和软盘的发放和保管，禁止在网上使用非法软件、软盘。 网络用户也应提高安全意识，注意保守秘密，并应对自己的资金文件、情报等机要事宜经常检查，杜绝 漏洞。 网络系统安全保障是一个复杂的系统工程，它涉及诸多方面，包括技术、设备、各类人员、管理制度、法 律调整等，需要在网络硬件及环境、软件和数据、网际通讯等不同层次上实施一系列不尽相同的保护措施。只 有将技术保障措施和法律保障措施密切结合起来，才能实现安全性，保证我国计算机网络健康发展。七、企业网络信息安全信息保障计算机网络的多样性、终端分布不均匀性和网络的开放性、互连性使联入网络的计算机系统很容易受到黑客、恶意软件和非法授权的入侵和攻击，信息系统中的存储数据暴露无遗，从而使用户信息资源的安全和保密受到严重威胁。目前互联网使用TCP/IP协议的设计原则，只实现简单的互联功能，所有复杂的数据处理都留给终端承担，这是互联网成功的因素，但它也暴露出数据在网上传输的机密性受到威胁，任何人都可以通过监听的方法去获得经过自己网络传输的数据。在目前不断发生互联网安全事故的时候，对互联网的安全状况进行研究与分析已迫在眉睫。7.1国外企业信息安全现状调查显示，欧美等国在网络安全建设投入的资金占网络建设资金总额的10%左右，而日韩两国则是8%。从国际范围来看，美国等西方国家网络基础设施的建设比中国完善，网络安全建设的起步时间也比中国早，因此发生的网络攻击、盗窃和犯罪问题也比国内严重，这也致使这些国家的企业对网络安全问题有更加全面的认识和足够的重视，但纵观全世界范围，企业的网络安全建设步伐仍然跟不上企业发展步伐和安全危害的升级速度。国外信息安全现状具有两个特点：(1)各行业的企业越来越认识到IT安全的重要性，并且意识到安全的必要性，并且把它作为企业的一项重要工作之一。(2)企业对于网络安全的资金投入与网络建设的资金投入按比例增长，而且各项指标均明显高于国内水平。7.2国内企业网络信息安全现状分析2005年全国各行业受众对网络安全技术的应用状况数据显示，在各类网络安全技术使用中，“防火墙”的使用率最高(占76.5%)，其次为“防病毒软件”的应用(占53.1%)。2005年较2004年相比加大了其他网络安全技术的投入，“物理隔离”、“路由器ACL”等技术已经得到了应用。防火墙的使用比例较高主要是因为它价格比较便宜、易安装，并可在线升级等特点。值得注意的是，2005年企事业单位对“使用用户名和密码登陆系统”、“业务网和互联网进行物理隔离”等措施非常重视。其他防范措施的使用也比2004年都提高了一定的比例，对网络安全和信息的保护意识也越来越高。生物识别技术、虚拟专用网络及数字签名证书的使用率较低，有相当一部分人不清楚这些技术，还需要一些时间才能得到市场的认可。根据调查显示，我国在网络安全建设投入的资金还不到网络建设