计算机网络安全的现状及对策(网络安全问题)____000字.doc

信息工程系毕业论文 编号：计算机网络安全的现状及对策 院校名称：*大学专 业：计算机应用技术班 级：姓 名：*目 录摘 要1第章 绪论2第章 需求分析4第3章 我国网络安全现状3.1 网络安全问题的产生53.2 我国网络建设中存在的重要要问题分析53.3 制约提高我国网络安全防范能力的因素7第4章 增强网络安全的对策4.1 增强网络安全的方法134.1.1 防火墙技术134.1.2 数据加密技术134.1.3 加强互联网安全管理134.2 对解决我国网络安全问题的几点建议13第5章 威胁网络安全的因素及防范5.1 黑客入侵与防范155.1.1 IP欺骗攻击与防范155.1.2 端口扫描与防范155.1.3 缓冲区溢出与防范165.1.4 拒绝服务攻击175.1.5 网络监听与防范175.1.6 黑客攻击实例175.2 计算机病毒185.2.1 常见的计算机病毒分类185.2.2 计算机病毒的主要传播途径195.2.3 计算机感染病毒的主要症状195.2.4 病毒攻击实例195.2.5 计算机病毒防范策略19第6章 防火墙技术6.1 防火墙的概述206.2 防火墙的作用和特性206.2.1 防火墙的作用206.2.2 防火墙的特性206.3 实现防火墙的主要技术206.3.1 数据包过滤技术206.3.2 应用级网关216.3.3 代理服务技术216.4 防火墙的体系结构216.4.1 双重宿主主机结构226.4.2 屏蔽主机体系结构226.4.3 屏蔽子网体系结构236.5 防火墙的设计236.6 防火墙的配置步骤24结束语26参考文献27 摘 要21世纪全世界的计算机都将通过Internet联到一起，网络安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。网络安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见网络安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。前两章分别介绍了绪论和需求分析。第三章开始阐述了我国网络安全的现状及网络安全问题产生的原因，并对我们网络安全现状进行了系统的分析，同时举出一个我国某企业网络设计的实例，对其网络安全问题进行分析并给予解决方案。第四章介绍了增强网络安全的方法及对解决我国网络安全问题提出几点建议。第五章介绍了威胁网络安全的因素及防范技术，提出了病毒和黑客的相关的概念，并举出实例说明了病毒和黑客攻击带来的严重后果。最后一章提出防火墙技术，详细介绍了防火墙的作用，体系结构，主要实现技术及配置。关键词：网络安全现状，防火墙，病毒，黑客第1章 绪 论网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题也日益突出。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节；网络政治颠覆活动频繁。文中分析了制约提高我国网络安全防范能力的主要因素，就政府如何提高我国网络的安全性提出几点建议：尽快制定具有战略眼光的“国家网络安全计划”；建立有效的国家信息安全管理体系；加快出台一系列相关法律法规，改变目前相关法律法规太笼统、缺乏操作性的现状；在信息技术及其关键产品的研发方面，提供具有超前意识的全局性目标和相关产业政策；建立一个功能齐备、全局协调的安全技术平台，与信息安全管理体系相互支撑和配合。众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在使用和管理上的无政府状态，逐渐使Internet自身的安全受到严重威胁，与它有关的安全事故屡有发生。对网络安全的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面。这就要求我们对与Internet互连所带来的安全性问题予以足够重视。互联网用户存在着多种多样的安全漏洞，在安装操作系统和应用软件及网络的调试中，如果没有对相关安全漏洞进行扫描并加以修补，遇到黑客的恶意攻击将会造成重大的损失。例如，创联万网托管的服务器受到黑客攻击，就是因为未能及时修复最新漏洞，给黑客可乘之机，出现几十台服务器不能正常运行，并有部分客户的资料丢失的重大事故，给客户造成了重大的损失。因此，互联网用户应该多采取主动防止出现事故的安全措施，从技术上和管理上加强对网络安全和信息安全的重视，形成立体防护，由被动修补变成主动的防范，把出现事故的概率降到最低。以计算机网络为核心、以实现资源共享和协同工作为目标的各种信息系统，已成为当今社会运行和技术基础。尤其是电子商务环境下的信息系统的建设和发展日趋复杂，系统安全任务更加艰巨，如何保障系统安全已成为不可回避的时代课题，更是电子商务发展和应用面临的严峻挑战。 信息系统的安全问题十分复杂，从技术角度来划分,信息系统的安全包括两个方面：网络安全和信息安全，两者既有区别，又有联系，都属于计算机安全学或者安全系统工程的研究与应用领域。为了保障网络和信息的安全，人们研究和开发出各种安全技术和产品，以期对各个环节提供安全保护，例如防火墙、安全路由器、身份认证系统、网络和系统安全性分析系统等。其中，如何有效地防范网络入侵（Network Intrusion）,将其可能造成的安全风险降到最低限度，成为近年来网络和信息安全领域理论研究和技术开发与应用的热点问题之一。在此背景下，各种基于审计分析和监测预警技术的入侵技术和系统应运而生。因此，作为整个网络安全体系中的一个重要组成部分，有必要针对网络的安全问题，对信息系统面临的网络入侵的安全技术和系统的工作原理、方法和应用，以期待与其它有效的安全技术和方法的结合，从而完善网络的安全保障体系。第2章 需求分析随着网络技术的发展，特别是20世纪90年代以来国际互联网的发展，网络安全问题越来越受到人们的重视，网络安全成为计算机网络方面的研究热点。网络安全对人们的工作和生活有着广泛的影响。近几年，随着电子商务的迅速发展，电子通信、电子银行、在线交易已经成为人们日常生活重要的组成部分，这就要求网络提供相应的安全措施，以保障广大用户的权益。网络安全的漏洞也为网络黑客们提供了广阔的生存空间。他们所开展的各种各样的攻击，会直接或间接地影响到网络的正常工作和人们的生活。同时“电子战”、“信息战”已成为国与国之间、商家与商家之间的一种重要的攻击手段。这种攻击与 反攻击、入侵与反入侵的不断斗争的环境促使网络安全技术得到全面迅速的发展。第3章 我国网络安全现状3.1 网络安全问题的产生可以从不同角度对网络安全做出不同的解释。一般意义上，网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”；控制安全则指身份认证、不可否认性、授权和访问控制。互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间，网络技术的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题：1.信息泄漏、信息污染、信息不易受控。例如，资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等，这些都是信息安全的技术难点。 2.在网络环境中，一些组织或个人出于某种特殊目的，进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透，甚至通过网络进行政治颠覆等活动，使国家利益、社会公共利益和各类主体的合法权益受到威胁。 3.网络运用的趋势是全社会广泛参与，随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧，使信息资源的保护和管理出现脱节和真空，从而使信息安全问题变得广泛而复杂。 4.随着社会重要基础设施的高度信息化，社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪，包括国防通信设施、动力控制网、金融系统和政府网站等。3.2 我国网络建设中存在的主要问题分析1 全国性的管理协调和相应支持缺乏我国的网络建设总体上处于一种分散管理的状态。网络安全问题与计算机病毒不同，系统安全管理是否得当决定了系统的安全指数。而安全管理是一个动态过程，涉及的方面也远多于反病毒措施，可以说以前的反计算机病毒工作只是一个技术问题，而现在的网络安全则是一个系统工程。全局管理的缺乏，使得我国的网络安全水平极端的不平衡，网络安全管理人员只能依靠自己的力量开展工作，无所依靠，从而大量商业、政府网站的安全水平低下，网络入侵事故频发。2 我国网络安全问题日益突出目前，我国网络安全问题日益突出的主要标志是： (1) 计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心副主任张健介绍，从国家计算机病毒应急处理中心日常监测结果看来，计算机病毒呈现出异常活跃的态势。据2001年调查，我国约73%的计算机用户曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用户高达59%，而且病毒的破坏性较大，被病毒破坏全部数据的占14%，破坏部分数据的占57%。(2) 电脑黑客活动已形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性，从国内情况来看，目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。(3) 信息基础设施面临网络安全的挑战。面对信息安全的严峻形势，我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。据英国简氏战略报告和其它网络组织对各国信息防护能力的评估，我国被列入防护能力最低的国家之一，不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。近年来，国内与网络有关的各类违法行为以每年30%的速度递增。据某市信息安全管理部门统计，2003年第1季度内，该市共遭受近37万次黑客攻击、2.1万次以上病毒入侵和57次信息系统瘫痪。该市某公司的镜像网站在10月份1个月内，就遭到从外部100多个IP地址发起的恶意攻击。(4) 网络政治颠覆活动频繁。近年来，国内外反动势力利用互联网组党结社，进行针对我国党和政府的非法组织和串联活动，猖獗频繁，屡禁不止。尤其是一些非法组织有计划地通过网络渠道，宣传异教邪说，妄图扰乱人心，扰乱社会秩序。例如，据媒体报道，“法轮功”非法组织就是在美国设网站，利用无国界的信息空间进行反政府活动。3.3 制约提高我国网络安全防范能力的因素当前，制约我国提高网络安全防御能力的主要因素有以下几方面。1.缺乏自主的计算机网络和软件核心技术 我国信息化建设过程中缺乏自主技术支撑。计算机安全存在三大黑洞：CPU芯片、操作系统和数据库、网关软件大多依赖进口。信息安全专家、中国科学院高能物理研究所研究员许榕生曾一针见血地点出我国信息系统的要害：“我们的网络发展很快，但安全状况如何？现在有很多人投很多钱去建网络，实际上并不清楚它只有一半根基，建的是没有防范的网。有的网络顾问公司建了很多网，市场布好，但建的是裸网，没有保护，就像房产公司盖了很多楼，门窗都不加锁就交付给业主去住。”我国计算机网络所使用的网管设备和软件基本上是舶来品，这些因素使我国计算机网络的安全性能大大降低，被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术，我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，网络安全处于极脆弱的状态。2.安全意识淡薄是网络安全的瓶颈目前，在网络安全问题上还存在不少认知盲区和制约因素。网络是新生事物，许多人一接触就忙着用于学习、工作和娱乐等，对网络信息的安全性无暇顾及，安全意识相当淡薄，对网络信息不安全的事实认识不足。与此同时，网络经营者和机构用户注重的是网络效应，对安全领域的投入和管理远远不能满足安全防范的要求。总体上看，网络信息安全处于被动的封堵漏洞状态，从上到下普遍存在侥幸心理，没有形成主动防范、积极应对的全民意识，更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。近年来，国家和各级职能部门在信息安全方面已做了大量努力，但就范围、影响和效果来讲，迄今所采取的信息安全保护措施和有关计划还不能从根本上解决目前的被动局面，整个信息安全系统在迅速反应、快速行动和预警防范等主要方面，缺少方向感、敏感度和应对能力。3.运行管理机制的缺陷和不足制约了安全防范的力度运行管理是过程管理，是实现全网安全和动态安全的关键。有关信息安全的政策、计划和管理手段等最终都会在运行管理机制上体现出来。就目前的运行管理机制来看，有以下几方面的缺陷和不足。(1) 网络安全管理方面人才匮乏：由于互联网通信成本极低，分布式客户服务器和不同种类配置不断出新和发展。按理，由于技术应用的扩展，技术的管理也应同步扩展，但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。信息安全技术管理方面的人才无论是数量还是水平，都无法适应信息安全形势的需要。(2) 安全措施不到位：互联网越来越具有综合性和动态性特点，这同时也是互联网不安全因素的原因所在。然而，网络用户对此缺乏认识，未进入安全就绪状态就急于操作，结果导致敏感数据暴露，使系统遭受风险。配置不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就无法发现和及时查堵安全漏洞。当厂商发布补丁或升级软件来解决安全问题时，许多用户的系统不进行同步升级，原因是管理者未充分意识到网络不安全的风险所在，未引起重视。 (3) 缺乏综合性的解决方案：面对复杂的不断变化的互联网世界，大多数用户缺乏综合性的安全管理解决方案，稍有安全意识的用户越来越依赖“银弹”方案（如防火墙和加密技术），但这些用户也就此产生了虚假的安全感，渐渐丧失警惕。实际上，一次性使用一种方案并不能保证系统一劳永逸和高枕无忧，网络安全问题远远不是防毒软件和防火墙能够解决的，也不是大量标准安全产品简单碓砌就能解决的。近年来，国外的一些互联网安全产品厂商及时应变，由防病毒软件供应商转变为企业安全解决方案的提供者，他们相继在我国推出多种全面的企业安全解决方案，包括风险评估和漏洞检测、入侵检测、防火墙和虚拟专用网、防病毒和内容过滤解决方案，以及企业管理解决方案等一整套综合性安全管理解决方案。例如:现有企业的网络系统做一个安全性分析，下面是典型的企业网络结构拓扑图(图3.1)：图3.1 企业网络结构拓扑图一般企业网络的应用系统，主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展，网络体系结构也会变得越来越复杂，应用系统也会越来越多。从整个网络系统的管理上来看，既有内部用户，也有外部用户，因此，整个企业的网络系统存在两个方面的安全问题：1.Internet的安全性目前互联网应用越来越广泛，黑客与病毒无孔不入，这极大地影响了Internet的可靠性和安全性，保护Internet、加强网络安全建设已经迫在眉捷。2.Intranet的安全性企业内部的网络安全同样需要重视，存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。针对上述两个方面的信息安全问题，可以总结出两个方面的安全性需求：1.基本安全需求：保护企业网络中设备的正常运行，维护主要业务系统的安全，是企业网络的基本安全需求。针对企业网络的运行环境，主要包括：网络正常运行、网络管理、网络部署、数据库及其它服务器资料不被窃取、保护用户帐号口令等个人资料不被泄露、对用户帐号和口令进行集中管理、对授权的个人限制访问功能、分配个人操作等级、进行用户身份认证、服务器、PC机和Internet/Intranet网关的防病毒保证、提供灵活高效且安全的内外通讯服务、保证拨号用户的上网安全等。2.关键业务系统安全需求：关键业务系统是企业网络应用的核心。关键业务系统应该具有最高的网络安全措施，其安全需求主要包括：访问控制，确保业务系统不被非法访问；数据安全，保证数据库软硬系统的整体安全性和可靠性，保证数据不被来自网络内部其他子系统（子网段）的破坏；入侵检测，对于试图破坏关键业务系统的恶意行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据；系统服务器、客户机以及电子邮件系统的综合防病毒措施等。 网络安全整体解决方案的提出(图3.2)图3.2网络安全整体解决方案从上面可以看出，只要在网关处安装防火墙产品，在网络内部安装入侵检测系统，然后在整个网络中安装网络版杀毒软件，就能彻底解决企业网络的信息安全问题。4.缺乏制度化的防范机制不少单位没有从管理制度上建立相应的安全防范机制，在整个运行过程中，缺乏行之有效的安全检查和应对保护制度。不完善的制度滋长了网络管理者和内部人士自身的违法行为。许多网络犯罪行为（尤其是非法操作）都是因为内部联网电脑和系统管理制度疏于管理而得逞的。同时，政策法规难以适应网络发展的需要，信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。由于网络作案手段新、时间短、不留痕迹等特点，给侦破和审理网上犯罪案件带来极大困难。第4章 增强网络安全的对策4.1增强网络安全的方法4.1.1 防火墙技术 使用专线接入的企业中，服务器放在公司内部，而内部网与外部网之间的屏障防火墙却没有安装，基本的安全防范措施都没有，而托管在IDC服务商的服务器可能也没有选择服务商提供的安全增值服务，没有把信息安全没有放到一个重要的位置，特别是企业的内部网与外部网相连情况，应该重点考虑使用防火墙技术，加强网络安全和信息安全，从而保护内部网络避免受非法用户的侵入。 4.1.2 数据加密技术 与防火墙配合使用的安全技术还有数据加密技术来提高信息系统及资料的安全性和保密性, 防止秘密资料被外部破解所采用的主要技术手段之一。从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。按作用不同, 数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术等四种。 4.1.3 加强互联网安全管理 网络安全和数据保护等防范措施都有一定的限度,并不是越安全就越可靠。在看一个内部网是否安全时不仅要考察其手段,而更重要的是对该网络所采取的各种措施,其中不光是物理防范,还有人员的素质等其它“软”因素,进行综合评估,从而得出是否安全的结论。因此，对“网管”人员和其它相关人员的管理非常的重要，而不仅是简单的硬件和软件方面的资金投入和安全措施的制定。 4.2 对解决我国网络安全问题的几点建议1.在国家层面上尽快提出一个具有战略眼光的“国家网络安全计划”。充分研究和分析国家在信息领域的利益和所面临的内外部威胁，结合我国国情制定的计划能全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系，并投入足够的资金加强关键基础设施的信息安全保护。2.建立有效的国家信息安全管理体系。改变原来职能不匹配、重叠、交叉和相互冲突等不合理状况，提高政府的管理职能和效率。3.加快出台相关法律法规。改变目前一些相关法律法规太笼统、缺乏操作性的现状，对各种信息主体的权利、义务和法律责任，做出明晰的法律界定。4.在信息技术尤其是信息安全关键产品的研发方面，提供全局性的具有超前意识的发展目标和相关产业政策，保障信息技术产业和信息安全产品市场有序发展。5.加强我国信息安全基础设施建设，建立一个功能齐备、全局协调的安全技术平台（包括应急响应、技术防范和公共密钥基础设施（PKI）等系统），与信息安全管理体系相互支撑和配合。第5章 威胁网络安全的因素及防范5.1 黑客入侵与防范黑客（Hacker）一词起源于美国麻省理工学院，黑客的原意是指热衷于计算机程序的人。当时有些学生组织对当局限制某个计算机网络系统使用的措施极为不满，他们就寻找方法侵入该系统，并以“黑客”自居。黑客们认为网络中的任何信息都应当是自由的和公开的，任何人都可以平等的共享和获取网络资源。目前世界各国对黑客的定义有所不同，但其普遍含义是指计算机网络系统的非法入侵者。5.1.1 IP欺骗攻击与防范IP欺骗（IP Spoofing）是指入侵者伪造生成具有源地址的IP包，冒充被信任主机，与被攻击系统进行信任连接，从而获得某种利益。IP欺骗的原理：IP欺骗攻击是基于TCP/IP协议本身的缺陷（只关心数据是否发送和是否接收到，而对于是何种数据及数据内容无法检查）。攻击通常采用手段为SYN（同步序列号）湮没和TCP劫取。其中SYN湮没是向被信任主机发送大量SYN数据，使系统不能正常的通信，从而使其进入一种哑状态。这时，攻击者就冒充该系统劫取其与目标系统的TCP连接，利用彼此间的信任关系，达到攻击的目的。IP欺骗的防范方法：1.抛弃基于IP大致的信任策略。2.进行包过滤。3.使用加密方法。4.使用随机化的初始序列号。5.通过对包的监控来检查IP欺骗。5.1.2 端口扫描与防范端口扫描是指攻击者向目标系统的各端口发送连接请求，根据目标系统各端口返回的信息（SYN/ACK确认信息或RST错误信息）能判断出哪些端口是打开的，哪些端口是关闭的，进而攻击目标系统。端口扫描的方法有很多种，可以手工扫描，也可以用端口扫描软件进行扫描。工作原理：向目标系统各端口发送连接请求，若端口是打开的，就会返回SYN/ACK确认信息；若端口是关闭的，则返回RST错误信息。端口扫描的防范方法：1.只留下经常使用的端口，关闭其他端口。2.利用防端口扫描的工具（如：SATAN软件、ISS软件）。3.安装个人防火墙，并及时升级。5.1.3 缓冲区溢出与防范缓冲区是计算机内存中的一个连续的空间，用来存放程序中用到的数据。缓冲区溢出就是指向空间有限的缓冲区中放入过多的数据，超出缓冲区的存储范围，造成缓冲区溢出。危害：1.缓冲区溢出会覆盖掉内存中的其他空间，造成程序运行出错，严重时引起死机。2.攻击者故意造成缓冲区溢出，夺取系统控制权，控制计算机。缓冲区溢出的原理：通过向缓冲区中放入过多数据改变子函数的返回地址，攻击者会在指定的返回地址处编写系统控制权的代码，一旦执行，攻击者就会取得系统控制权，控制计算机。缓冲区溢出的防范方法：1.修补系统。2.安装补丁程序。3.及时升级系统。5.1.4 拒绝服务攻击拒绝服务攻击是指一个用户占据了系统大量的共享资源，使系统没有剩余的资源供其他用户使用，对其他合法用户拒绝服务。这种攻击包括两类，一种是破坏资源（如:删除文件），另一种是消耗资源（如:占满机器内存）。1常见的拒绝服务攻击实例：(1) SYN湮没。 (2) smurf拒绝服务攻击。 (3) 广播风暴。 2防范拒绝服务攻击的方法：(1) 控制用户占据系统内存，控制用户占用CPU的时间。(2) 优化路由器，优化网络结构。(3) 使用升级的最新软件。(4) 安装个人防火墙，关闭不必要的服务。5.1.5 网络监听与防范网络监听是指入侵者进入目标系统后，使用网络监听工具来窃取信息。它属于二级攻击手段。网络监听的防范：1对数据加密。2使用安全网络拓扑结构（将网络划分成小的子网，用交换机比较安全）。5.1.6 黑客攻击实例2003年8月5日，微软公司网站在西雅图时间周五下午1:21分遭到黑客攻击，导致其停止运作近2小时。 2004年10月28日，索尼中文网站遭到入侵，页面被涂改。2004年12月17日，网通国际遭到黑客攻击，致使近千用户的服务器受到影响，许多用户赶往亦庄的网通国际数据中心搬走自己的服务器。5.2 计算机病毒简单地说，计算机病毒就是人为编写的、具有特定功能的程序。具有可执行性、传染性、破坏性、潜伏性、可触发性、攻击的主动性、针对性、隐蔽性等特性。5.2.1 常见的计算机病毒分类1.系统引导型病毒 这类病毒隐藏在硬盘或软盘的引导区，当计算机从感染了引导区病毒的硬盘或软盘启动，或当计算机从受感染的软盘中读取数据时，引导区病毒就开始发作。一旦它们将自己拷贝到机器的内存中，马上就会感染其他磁盘的引导区,或通过网络传播到其他计算机上。早期出现的大麻病毒、小球病毒就属此类。2.文件型病毒 文件型病毒是指能够寄生于文件的病毒，文件包括.COM、.EXE可执行文件以 及.DOC等文档，当执行文件的时候病毒会首先运行。早期的1575/1591病毒，以及最近的Win32.Xorala（劳拉）病毒都属于文件型病毒。如果集中系统引导型病毒和文件型病毒共有的特点，那可以称之为复合型病毒。3.宏病毒 这是一种特殊的文件型病毒，由于宏功能的强大，一些软件开发商在产品研发中引入宏语言，并允许这些产品在生成载有宏的数据文件之后出现。宏病毒就是主要利用Microsoft word 提供的宏功能来将病毒驻进到带有宏的.DOC文档中，病毒的传输速度很快，对系统和文件可以造成破坏。5.2.2 计算机病毒的主要传播途径1.通过存储设备来传播，包括软盘、硬盘、优盘、光盘等。2.通过计算机网络进行传播，如收发电子邮件、访问网页、下载文件或软件等。5.2.3 计算机感染病毒的主要症状1.程序载入时间比平常久，即运行速度慢。2.系统内存容量忽然大量减少。3.磁盘可利用的空间突然减少。4.无缘无故丢失数据和程序，有些文件的内容被加上一些奇怪的资料。5.文件名称、扩展名、日期、属性被更改过。5.2.4 病毒攻击实例2000年5月至今，“爱虫病毒”已经令众多用户电脑被感染，且影响持续时间长，造成损失超过100亿美元以上。 2003年1月“蠕虫王”病毒使得网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元。2003年7月，令全世界闻风丧胆、令所有企业深恶痛绝的“冲击波”病毒发作，使得大量网络瘫痪，造成了数十亿美金的损失。5.2.5计算机病毒防范策略1. 把好入口关。光盘、软盘之前必须使用杀毒工具进行病毒的扫描，看是否有病毒。2. 日常维护少不了。3. 不要随便登录不明网站。第6章 防火墙技术6.1 防火墙的概述防火墙是一个或一组系统，它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同，但是在原则上，防火墙可以被认为是这样一对机制：一种机制是拦阻传输流通行，另一种机制是允许传输流通过。“防火墙”是一种形象的说法,其实它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关(scurity gateway),从而保护内部网免受非法用户的侵入。所谓防火墙就是一个能把互联网与内部网隔开的屏障。6.2 防火墙的作用和特性6.2.1 防火墙的作用1防火墙能强化安全策略（防火墙是阻塞点）。2防火墙能有效的记录Internet上的活动。如作日志记录、有报警功能。3防火墙能限制暴露用户点，隐藏内部信息。4防火墙是一个安全策略的检查站。6.2.2 防火墙的特性1所有内部对外部的通信都必须通过防火墙，反之亦然。2只有按安全策略所定义的授权，通信才允许通过。3防火墙不能防范不通过它的连接。4防火墙不能防御所有的威胁。6.3 实现防火墙的主要技术6.3.1 数据包过滤技术数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。6.3.2 应用级网关应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。6.3.3 代理服务技术代理服务(Proxy Server)是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。6.4 防火墙的体系结构防火墙的体系结构可分为简单结构和复杂结构。简单结构包括屏蔽路由器结构和双重宿主主机结构；复杂结构包括屏蔽主机体系结构（应用最多）和屏蔽子网体系结构。6.4.1 双重宿主主机结构双重宿主主机结构（见图5.1）此结构有双网卡，运行包过滤技术（进行安全检查）和应用代理技术（代理服务，转发数据）。优点：结构简单，易于实现，成本低，能够提供比较完善的控制机制。缺点：一个主机同时运行防火墙的两种技术，它的速度慢，安全性也不好。图5.1 双重宿主主机结构6.4.2 屏蔽主机体系结构屏蔽主机体系结构（见图5.2）特点：此类防火墙结构由屏蔽路由器和壁垒主机构成，路由器运行包过滤技术，它位于内外网之间，为系统提供主要的安全功能。壁垒主机位于内部网中，运行代理服务技术，负责数据中转。此结构只允许壁垒主机与外部网络通信，外部网络能够到达内部网络唯一的节点是壁垒主机。优点：它能为内部网提供更好的安全性。缺点：壁垒主机与内部网之间没有任何的安全措施，一旦路由器失效，整个内部网就会十分危险。 图5.2 屏蔽主机体系结构6.4.3 屏蔽子网体系结构屏蔽子网体系结构（见图5.3）特点：此类防火墙结构有两个屏蔽路由器和一个壁垒主机三部分构成。两个路由器运行包过滤技术，主要负责数据的过滤检查。壁垒主机运行代理服务技术，负责将合法数据转发出去。入侵者必须通过内外路由器、壁垒主机三道防线才能进入内部系统。既使壁垒主机被侵害，内部系统仍然是安全的。优点：安全性很高（三道防线、内部网对外部不可见、代理服务）。缺点：结构复杂，造价高。图5.3 屏蔽子网体系结构6.5 防火墙的设计有三种设计防火墙的方法：Web服务器位于防火墙内、防火墙外、防火墙上。1.Web服务器位于防火墙内（见图5.4）优点：内网和Web服务器安全。内网外网缺点：不利于宣传企业。 Web服务器 防火墙图5.4 Web服务器位于防火墙内2.Web服务器位于防火墙外（见图5.5）优点：内网安全，有利于宣传企业。内网外网缺点：Web服务器不受保护。防火墙 Web服务器图5.5 Web服务器位于防火墙外3.Web服务器位于防火墙上（见图5.6）优点：内网安全。缺点：警惕Web服务器的安全。内网外网 Web服务器和防火墙 图5-6 Web服务器位于防火墙上6.6 防火墙的配置步骤 1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上。2. 打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。 3. 运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在"附件"程序组中）。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。 4. 当PIX防火墙进入系统后即显示"pix firewall>"的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。 5. 输入命令：enable,进入特权用户模式，此时系统提示为：pix firewall#。 6. 输入命令： configure terminal,进入全局配置模式，对系统进行初始化设置。 7. 配置保存：wr mem 8. 退出当前模式 此命令为exit，可以任何用户模式下执行，执行的方法也相当简单，只输入命令本身即可。它与Quit命令一样。下面三条语句表示了用户从配置模式退到特权模式，再退到普通模式下的操作步骤。 pix firewall(config)# exit pix firewall# exit pix firewall>9. 查看当前用户模式下的所有可用命令：show，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。 10. 查看端口状态：show interface，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。 11. 查看静态地址映射:show static，这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射情况。结束语网络环境的复杂性、多变性，以及信息系统的脆弱性，决定了网络安全威胁的客观存在。我国日益开放并融入世界，但加强安全监管和建立保护屏障不可或缺。近年来，随着国际政治形势的发展，以及经济全球化过程的加快，人们越来越清楚，信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全，同时也涉及国家的国防安全、政治安全和文化安全。 本文中对现阶段我过网络安全问题进行了系统的分析，指出了我国网络安