計(jì)算機(jī)網(wǎng)絡(luò)安全策略畢業(yè)論文

1、<p><b>　　畢業(yè)設(shè)計(jì)（論文）</b></p><p><b>　　計(jì)算機(jī)網(wǎng)絡(luò)安全策略</b></p><p><b>　　摘 要</b></p><p>　　隨著政府上網(wǎng)、海關(guān)上網(wǎng)、電子商務(wù)、網(wǎng)上娛樂(lè)等一系列網(wǎng)絡(luò)應(yīng)用的蓬勃發(fā)展，Internet正在越來(lái)越多地離開原來(lái)單純的學(xué)術(shù)環(huán)境，

2、融入到社會(huì)的各個(gè)方面。一方面，網(wǎng)絡(luò)用戶成分越來(lái)越多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來(lái)越頻繁；另一方面，網(wǎng)絡(luò)應(yīng)用越來(lái)越深地滲透到金融、商務(wù)、國(guó)防等等關(guān)鍵要害領(lǐng)域。換言之，Internet網(wǎng)的安全，包括其上的信息數(shù)據(jù)安全和網(wǎng)絡(luò)設(shè)備服務(wù)的運(yùn)行安全，日益成為與國(guó)家、政府、企業(yè)、個(gè)人的利益休戚相關(guān)的"大事情"。安全保障能力是新世紀(jì)一個(gè)國(guó)家綜合國(guó)力、經(jīng)濟(jì)競(jìng)爭(zhēng)實(shí)力和生存能力的重要組成部分。不夸張地說(shuō)，它在下個(gè)世紀(jì)里完全可以與核

3、武器對(duì)一個(gè)國(guó)家的重要性相提并論。這個(gè)問(wèn)題解決不好將全方位地危及我國(guó)的政治、軍事、經(jīng)濟(jì)、文化、社會(huì)生活的各個(gè)方面，因此本文分析了當(dāng)前網(wǎng)絡(luò)安全工作對(duì)于國(guó)家安全和經(jīng)濟(jì)建設(shè)的重要意義、它所面臨的種種威脅、網(wǎng)絡(luò)安全體系之所以失敗的原因，然后通過(guò)分析網(wǎng)絡(luò)安全技術(shù)的最新發(fā)展，給出了一個(gè)較為完備的安全體系可以采用的各種加強(qiáng)手段，包括防火墻、加密與認(rèn)證、網(wǎng)絡(luò)安全掃描、入侵檢測(cè)等技術(shù)。本文提出制定適當(dāng)?shù)?、完備的網(wǎng)絡(luò)安全策略是實(shí)現(xiàn)網(wǎng)絡(luò)安全的前提，高水平的網(wǎng)絡(luò)

4、安全技術(shù)隊(duì)伍是安</p><p>　　關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)  網(wǎng)絡(luò)安全  防火墻  病毒  對(duì)策</p><p><b>　　Abstract</b></p><p>　　With the government on-line, Customs Internet, e-commerce, entertain

5、ment and a series of rapid development of network applications, Internet is increasingly leaving the original purely academic environment into all aspects of society. On the one hand, Internet users are increasingly dive

6、rse composition, for various purposes of network intrusion and attacks become more frequent; the other hand, network applications to penetrate deeper into the financial, business, the key to vital areas of nation</p&g

7、t;<p>　　Keywords: computer network security firewall, virus response network</p><p><b>　　目 錄</b></p><p><b>　　第1章 緒論1</b></p><p>　　1.1 課題背景1</p&g

8、t;<p>　　1.2常見的計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅1</p><p>　　1.3常見的計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施2</p><p>　　第2章 計(jì)算機(jī)網(wǎng)絡(luò)安全策略3</p><p>　　2.1物理安全策略3</p><p>　　2.2訪問(wèn)控制策略3</p><p>　　2.2.1 入網(wǎng)訪問(wèn)控制3&l

9、t;/p><p>　　2.2.2 網(wǎng)絡(luò)的權(quán)限控制4</p><p>　　2.2.3 目錄級(jí)安全控制4</p><p>　　2.2.4屬性安全控制4</p><p>　　2.2.5網(wǎng)絡(luò)服務(wù)器安全控制5</p><p>　　第3章 安全網(wǎng)絡(luò)的建設(shè)6</p><p>　　3.1內(nèi)部網(wǎng)的安全6&

10、lt;/p><p>　　3.2 Internet接口安全6</p><p>　　3.3 Extranet 接口的安全6</p><p>　　3.4 移動(dòng)用戶撥號(hào)接入內(nèi)部網(wǎng)的安全6</p><p>　　3.5 數(shù)據(jù)庫(kù)安全保護(hù)6</p><p><b>　　第4章 防火墻7</b></p&

11、gt;<p>　　4.1防火墻類型7</p><p>　　4.2防火墻的選擇8</p><p>　　4.3防火墻的安全性和局限性9</p><p>　　第5章 加密技術(shù)10</p><p>　　5.1 對(duì)稱加密技術(shù)10</p><p>　　5.2 非對(duì)稱加密/公開密匙加密11</p>

12、;<p>　　5.3 RSA算法11</p><p>　　5.4 MD511</p><p>　　第6章 網(wǎng)絡(luò)日志13</p><p>　　6.1故障排查13</p><p>　　6.2 日志統(tǒng)計(jì)的重要性14</p><p>　　6.3 安全審核和日志分析技巧14</p><

13、;p><b>　　結(jié) 論16</b></p><p><b>　　致 謝17</b></p><p><b>　　參考文獻(xiàn)18</b></p><p><b>　　第1章 緒論</b></p><p><b>　　1.1 課題背景

14、</b></p><p>　　隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢(shì)。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊，所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問(wèn)題。對(duì)于軍用的自動(dòng)化指揮網(wǎng)絡(luò)、C3I系統(tǒng)和銀行等傳輸敏感數(shù)據(jù)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。因此，上述的網(wǎng)絡(luò)必須有足夠

15、強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個(gè)無(wú)用、甚至?xí)＜皣?guó)家安全的網(wǎng)絡(luò)。無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。</p><p>　　1.2常見的計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅</p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)所面臨的威脅大體可分為兩種：一是對(duì)網(wǎng)絡(luò)中信息的威脅；二是對(duì)

16、網(wǎng)絡(luò)中設(shè)備的威脅。影響計(jì)算機(jī)網(wǎng)絡(luò)的因素很多，有些因素可能是有意的，也可能是無(wú)意的；可能是人為的，也可能是非人為的；可能是外來(lái)黑客對(duì)網(wǎng)絡(luò)系統(tǒng)資源的非法使有，歸結(jié)起來(lái)，針對(duì)網(wǎng)絡(luò)安全的威脅主要有三：</p><p>　　(1)人為的無(wú)意失誤：如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。</p><p>

17、　　(2)人為的惡意攻擊：這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。</p><p>　　(3)網(wǎng)絡(luò)軟件的漏洞和“后門”：網(wǎng)絡(luò)軟件不可能是百分之

18、百的無(wú)缺陷和無(wú)漏洞的，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，曾經(jīng)出現(xiàn)過(guò)的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大部分就是因?yàn)榘踩胧┎煌晟扑兄碌目喙?。另外，軟件的“后門”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設(shè)想。</p><p>　　1.3常見的計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施</p><p>　　網(wǎng)絡(luò)安全的脆弱性體現(xiàn)：當(dāng)我們

19、評(píng)判一個(gè)系統(tǒng)是否安全時(shí),不應(yīng)該只看它應(yīng)用了多么先進(jìn)的設(shè)施,更應(yīng)該了解它最大的弱點(diǎn)是什么,因?yàn)榫W(wǎng)絡(luò)的安全性取決于它最薄弱環(huán)節(jié)的安全性，通過(guò)考察近幾年在Internet上發(fā)生的黑客攻擊事件,我們不難看出威脅網(wǎng)絡(luò)安全的基本模式是一樣的。特別在大量自動(dòng)軟件工具出現(xiàn)以后,加之Internet提供的便利,攻擊者可以很方便地組成團(tuán)體,使得網(wǎng)絡(luò)安全受到的威脅更加嚴(yán)重。隱藏在世界各地的攻擊者通?？梢栽竭^(guò)算法本身,不需要去試每一個(gè)可能的密鑰,甚至不需要去尋

20、找算法本身的漏洞,他們能夠利用所有可能就范的錯(cuò)誤,包括設(shè)計(jì)錯(cuò)誤、安裝配置錯(cuò)誤及教育培訓(xùn)失誤等,向網(wǎng)絡(luò)發(fā)起攻擊。但在大多數(shù)情況下,他們是利用設(shè)計(jì)者們犯的一次次重復(fù)發(fā)生的錯(cuò)誤輕松得逞的。我們可以粗略地將對(duì)系統(tǒng)安全造成的威脅歸結(jié)為6大類 :教育培訓(xùn)問(wèn)題、變節(jié)的員工、系統(tǒng)軟件的缺陷、對(duì)硬件的攻擊、錯(cuò)誤的信任模型和拒絕服務(wù)。</p><p>　　常見攻擊方法及對(duì)策。人們將常見的攻擊方法分為以下幾種類型:試探(probe)、

21、掃描(scan)、獲得用戶賬戶(account compromise)、獲得超級(jí)用戶權(quán)限(root compromise)、數(shù)據(jù)包竊聽(packet sniffer)、拒絕服務(wù)(denial of service)、利用信任關(guān)系、惡意代碼(如特洛伊木馬、病毒、蠕蟲等)以及攻擊Internet基礎(chǔ)設(shè)施(如DNS系統(tǒng)和網(wǎng)絡(luò)路由等)。一般說(shuō)來(lái)攻擊者對(duì)目標(biāo)進(jìn)行攻擊要經(jīng)歷3個(gè)步驟:情報(bào)搜集、系統(tǒng)的安全漏洞檢測(cè)和實(shí)施攻擊。</p>&

22、lt;p>　　(1)與網(wǎng)絡(luò)設(shè)備經(jīng)銷商取得聯(lián)系，詢問(wèn)他們是否研制了防范DOS（拒絕服務(wù)式攻擊）的軟件，如TCP SYN ACK。 </p><p>　　(2)制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)則，對(duì)進(jìn)出網(wǎng)絡(luò)的信息進(jìn)行嚴(yán)格限定。這樣可充分保證黑客的試探行動(dòng)不能取得成功。 </p><p>　　(3)將網(wǎng)絡(luò)的TCP超時(shí)限制縮短至15分鐘（900秒），以減少黑客進(jìn)攻的窗口機(jī)會(huì)。 </p>&

23、lt;p>　　(4)擴(kuò)大連接表，增加黑客填充整個(gè)連接表的難度。 </p><p>　　(5)時(shí)刻監(jiān)測(cè)系統(tǒng)的登錄數(shù)據(jù)和網(wǎng)絡(luò)信息流向，以便及時(shí)發(fā)現(xiàn)任何異常之處。美國(guó)網(wǎng)絡(luò)趨勢(shì)公司研制的Firewa ll Suite 2.0軟件是進(jìn)行網(wǎng)絡(luò)登錄和通信測(cè)試的最佳軟件，有24種不同的防火墻產(chǎn)品，可提供250種詳細(xì)報(bào)告。 </p><p>　　(6)安裝所有的操作系統(tǒng)和服務(wù)器補(bǔ)丁程序。隨時(shí)與銷售商保

24、持聯(lián)系，以取得最新的補(bǔ)丁程序。 </p><p>　　(7)盡量減少暴露在互聯(lián)網(wǎng)上的系統(tǒng)和服務(wù)的數(shù)量。每暴露一個(gè)都會(huì)給網(wǎng)絡(luò)增加一份危險(xiǎn)。 </p><p>　　第2章 計(jì)算機(jī)網(wǎng)絡(luò)安全策略 </p><p><b>　　2.1物理安全策略</b></p><p>　　物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等

25、硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。抑制和防止電磁泄漏（即TEMPEST技術(shù)）是物理安全策略的一個(gè)主要問(wèn)題。目前主要防護(hù)措施有兩類：一類是對(duì)傳導(dǎo)發(fā)射的防護(hù)，主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合。另一類是對(duì)輻射的防護(hù)，這類

26、防護(hù)措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離；二是干擾的防護(hù)措施，即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)，利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來(lái)掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。</p><p><b>　　2.2訪問(wèn)控制策略</b></p><p>　　訪問(wèn)控制

27、是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問(wèn)。它也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護(hù)作用，但訪問(wèn)控制可以說(shuō)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。下面我們分述各種訪問(wèn)控制策略。</p><p>　　2.2.1 入網(wǎng)訪問(wèn)控制</p><p>　　入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。它控制哪些用戶能夠登錄

28、到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。用戶的入網(wǎng)訪問(wèn)控制可分為三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶帳號(hào)的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過(guò)，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問(wèn)的第一道防線。用戶注冊(cè)時(shí)首先輸入用戶名和口令，服務(wù)器將驗(yàn)證所輸入的用戶名是否合法。如果驗(yàn)證合法，才繼續(xù)驗(yàn)證用戶輸入的口令，否則，用戶將被拒之網(wǎng)絡(luò)之外。用戶的口令是用戶入

29、網(wǎng)的關(guān)鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長(zhǎng)度應(yīng)不少于6個(gè)字符，口令字符最好是數(shù)字、字母和其他字符的混合，用戶口令必須經(jīng)過(guò)加密，加密的方法很多，其中最常見的方法有：基于單向函數(shù)的口令加密，基于測(cè)試模式的口令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項(xiàng)式共享的口令加密，基于數(shù)字簽名方案的口令加密等。經(jīng)過(guò)上述方法加密的口令，即使是系統(tǒng)管理員也難以得到它。用戶還可采用一次性用戶口令，也可用便攜式驗(yàn)

30、證器（如智能卡）來(lái)驗(yàn)證用戶的身份。網(wǎng)絡(luò)管理員應(yīng)該可以控</p><p>　　2.2.2 網(wǎng)絡(luò)的權(quán)限控制</p><p>　　網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)哪些目錄、子目錄、文件和其他資源。可以指定用戶對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽（IRM）可作為其兩種實(shí)現(xiàn)方式。受托者指派

31、控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個(gè)過(guò)濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限。我們可以根據(jù)訪問(wèn)權(quán)限將用戶分為以下幾類：（1）特殊用戶（即系統(tǒng)管理員）；（2）一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限；（3）審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限可以用一個(gè)訪問(wèn)控制表來(lái)描述。</p><p>　　2.2.3 目錄級(jí)安全控制

32、</p><p>　　網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問(wèn)。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。對(duì)目錄和文件的訪問(wèn)權(quán)限一般有八種：系統(tǒng)管理員權(quán)限（Supervisor）、讀權(quán)限（Read）、寫權(quán)限（Write）、創(chuàng)建權(quán)限（Create）、刪除權(quán)限（Erase）、修改權(quán)限（Modify）、文件查找權(quán)限（File Scan）、存取控制權(quán)限（Access

33、 Control）。用戶對(duì)文件或目標(biāo)的有效權(quán)限取決于以下二個(gè)因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個(gè)網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問(wèn)權(quán)限，這些訪問(wèn)權(quán)限控制著用戶對(duì)服務(wù)器的訪問(wèn)。八種訪問(wèn)權(quán)限的有效組合可以讓用戶有效地完成工作，同時(shí)又能有效地控制用戶對(duì)服務(wù)器資源的訪問(wèn)，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。</p><p>　　2.2.4屬性安全控制</p>&l

34、t;p>　　當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問(wèn)屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來(lái)。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限對(duì)應(yīng)一張?jiān)L問(wèn)控制表，用以表明用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能控制以下幾個(gè)方面的權(quán)限：向某個(gè)文件寫數(shù)據(jù)、拷貝一個(gè)文

35、件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件，防止用戶對(duì)目錄和文件的誤刪除、執(zhí)行修改、顯示等。</p><p>　　2.2.5網(wǎng)絡(luò)服務(wù)器安全控制</p><p>　　網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作。用戶使用控制臺(tái)可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺(tái)，以防止非

36、法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時(shí)間限制、非法訪問(wèn)者檢測(cè)和關(guān)閉的時(shí)間間隔。如圖2-1所示。 </p><p>　　圖2-1 服務(wù)器設(shè)置</p><p>　　第3章 安全網(wǎng)絡(luò)的建設(shè)</p><p><b>　　3.1內(nèi)部網(wǎng)的安全</b></p><p>　　內(nèi)部網(wǎng)的安全防范應(yīng)滿足以下原則:(1)內(nèi)

37、部網(wǎng)能根據(jù)部門或業(yè)務(wù)需要?jiǎng)澐肿泳W(wǎng)(物理子網(wǎng)或虛擬子網(wǎng)),并能實(shí)現(xiàn)子網(wǎng)隔離。(2)采取相應(yīng)的安全措施后,子網(wǎng)間可相互訪問(wèn)。</p><p>　　3.2 Internet接口安全</p><p>　　內(nèi)部網(wǎng)接入Internet對(duì)安全技術(shù)要求很高,應(yīng)考慮以下原則:(1)在未采取安全措施的情況下,禁止內(nèi)部網(wǎng)以任何形式直接接入Internet。 (2)采取足夠的安全措施后,允許內(nèi)部網(wǎng)對(duì)Interne

38、t開通必要的業(yè)務(wù)。 (3)對(duì)Internet公開發(fā)布的信息應(yīng)采取安全措施保障信息不被篡改。</p><p>　　3.3 Extranet 接口的安全</p><p>　　Extranet應(yīng)采取以下安全原則:(1)未采取安全措施的情況下,禁止內(nèi)部網(wǎng)直接連接Extranet。 (2)設(shè)立獨(dú)立網(wǎng)絡(luò)區(qū)域與Extranet交換信息,并采取有效的安全措施保障該信息交換區(qū)不受非授權(quán)訪問(wèn)。 (3)來(lái)自Ex

39、tranet的特定主機(jī)經(jīng)認(rèn)證身份后可訪問(wèn)內(nèi)部網(wǎng)指定主機(jī)。 </p><p>　　3.4 移動(dòng)用戶撥號(hào)接入內(nèi)部網(wǎng)的安全</p><p>　　移動(dòng)用戶撥號(hào)接入內(nèi)部網(wǎng)的安全防范應(yīng)滿足以下原則:(1)在未采取安全措施的情況下,禁止移動(dòng)用戶直接撥號(hào)接入內(nèi)部網(wǎng)。 (2)移動(dòng)用戶在經(jīng)身份認(rèn)證后可訪問(wèn)指定的內(nèi)部網(wǎng)主機(jī)。 </p><p>　　3.5 數(shù)據(jù)庫(kù)安全保護(hù)</p>

40、;<p>　　對(duì)數(shù)據(jù)庫(kù)安全的保護(hù)主要應(yīng)考慮以下幾條原則:(1)應(yīng)有明確的數(shù)據(jù)庫(kù)存取授權(quán)策略。 (2)重要信息在數(shù)據(jù)庫(kù)中應(yīng)有安全保密和驗(yàn)證措施。</p><p><b>　　第4章 防火墻</b></p><p>　　防火墻作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障,是近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)

41、構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn)/出兩個(gè)方向通信的門檻, 是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，是實(shí)施安全防范的系統(tǒng)，可被認(rèn)為是一種訪問(wèn)控制機(jī)制，用于確定哪些內(nèi)部服務(wù)允許外部訪問(wèn)，以及允許哪些外部服務(wù)訪問(wèn)內(nèi)部服務(wù)。在網(wǎng)絡(luò)邊界上通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。</p><p><b>　　4.1防火墻類型</b></p><p>

42、　　(1)包過(guò)濾防火墻：包過(guò)濾防火墻設(shè)置在網(wǎng)絡(luò)層，可以在路由器上實(shí)現(xiàn)包過(guò)濾。首先應(yīng)建立一定數(shù)量的信息過(guò)濾表，信息過(guò)濾表是以其收到的數(shù)據(jù)包頭信息為基礎(chǔ)而建成的。信息包頭含有數(shù)據(jù)包源IP地址、目的IP地址、傳輸協(xié)議類型（TCP、UDP、ICMP等）、協(xié)議源端口號(hào)、協(xié)議目的端口號(hào)、連接請(qǐng)求方向、ICMP報(bào)文類型等。當(dāng)一個(gè)數(shù)據(jù)包滿足過(guò)濾表中的規(guī)則時(shí)，則允許數(shù)據(jù)包通過(guò)，否則禁止通過(guò)。這種防火墻可以用于禁止外部不合法用戶對(duì)內(nèi)部的訪問(wèn)，也可以用來(lái)禁止

43、訪問(wèn)某些服務(wù)類型。但包過(guò)濾技術(shù)不能識(shí)別有危險(xiǎn)的信息包，無(wú)法實(shí)施對(duì)應(yīng)用級(jí)協(xié)議的處理，也無(wú)法處理UDP、RPC或動(dòng)態(tài)的協(xié)議。</p><p>　　(2)代理防火墻：代理防火墻又稱應(yīng)用層網(wǎng)關(guān)級(jí)防火墻，它由代理服務(wù)器和過(guò)濾路由器組成，是目前較流行的一種防火墻。它將過(guò)濾路由器和軟件代理技術(shù)結(jié)合在一起。過(guò)濾路由器負(fù)責(zé)網(wǎng)絡(luò)互連，并對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格選擇，然后將篩選過(guò)的數(shù)據(jù)傳送給代理服務(wù)器。代理服務(wù)器起到外部網(wǎng)絡(luò)申請(qǐng)?jiān)L問(wèn)內(nèi)部網(wǎng)絡(luò)的中

44、間轉(zhuǎn)接作用，其功能類似于一個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)器，它主要控制哪些用戶能訪問(wèn)哪些服務(wù)類型。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)某種網(wǎng)絡(luò)服務(wù)時(shí)，代理服務(wù)器接受申請(qǐng)，然后它根據(jù)其服務(wù)類型、服務(wù)內(nèi)容、被服務(wù)的對(duì)象、服務(wù)者申請(qǐng)的時(shí)間、申請(qǐng)者的域名范圍等來(lái)決定是否接受此項(xiàng)服務(wù)，如果接受，它就向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)這項(xiàng)請(qǐng)求。代理防火墻無(wú)法快速支持一些新出現(xiàn)的業(yè)務(wù)（如多媒體）?，F(xiàn)要較為流行的代理服務(wù)器軟件是WinGate和Proxy Server。</p><p

45、>　　(3)雙穴主機(jī)防火墻：該防火墻是用主機(jī)來(lái)執(zhí)行安全控制功能。一臺(tái)雙穴主機(jī)配有多個(gè)網(wǎng)卡，分別連接不同的網(wǎng)絡(luò)。雙穴主機(jī)從一個(gè)網(wǎng)絡(luò)收集數(shù)據(jù)，并且有選擇地把它發(fā)送到另一個(gè)網(wǎng)絡(luò)上。網(wǎng)絡(luò)服務(wù)由雙穴主機(jī)上的服務(wù)代理來(lái)提供。內(nèi)部網(wǎng)和外部網(wǎng)的用戶可通過(guò)雙穴主機(jī)的共享數(shù)據(jù)區(qū)傳遞數(shù)據(jù)，從而保護(hù)了內(nèi)部網(wǎng)絡(luò)不被非法訪問(wèn)。</p><p><b>　　4.2防火墻的選擇</b></p><

46、p>　　選擇防火墻的標(biāo)準(zhǔn)有很多,但最重要的是以下幾條: </p><p>　　(1)總擁有成本防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其總擁有成本(TCO)不應(yīng)該超過(guò)受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個(gè)非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為10萬(wàn)元,則該部門所配備防火墻的總成本也不應(yīng)該超過(guò)10萬(wàn)元。當(dāng)然,對(duì)于關(guān)鍵部門來(lái)說(shuō),其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗

47、略估算,非關(guān)鍵部門的防火墻購(gòu)置成本不應(yīng)該超過(guò)網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本,關(guān)鍵部門則應(yīng)另當(dāng)別論。 </p><p>　　(2)防火墻本身是安全的，作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機(jī)。如果像馬其頓防線一樣,正面雖然牢不可破,但進(jìn)攻者能夠輕易地繞過(guò)防線進(jìn)入系統(tǒng)內(nèi)部,網(wǎng)絡(luò)系統(tǒng)也就沒(méi)有任何安全性可言了。通常,防火墻的安全性問(wèn)題來(lái)自兩個(gè)方面:其一是防火墻本身的設(shè)計(jì)是否合理,這類問(wèn)題一般用戶根本

48、無(wú)從入手,只有通過(guò)權(quán)威認(rèn)證機(jī)構(gòu)的全面測(cè)試才能確定。所以對(duì)用戶來(lái)說(shuō),保守的方法是選擇一個(gè)通過(guò)多家權(quán)威認(rèn)證機(jī)構(gòu)測(cè)試的產(chǎn)品。其二是使用不當(dāng)。一般來(lái)說(shuō),防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對(duì)防火墻不十分熟悉,就有可能在配置過(guò)程中遺留大量的安全漏洞。</p><p>　　(3)管理與培訓(xùn)，管理和培訓(xùn)是評(píng)價(jià)一個(gè)防火墻好壞的重要方面。我們已經(jīng)談到,在計(jì)算防火墻的成本時(shí),不能只簡(jiǎn)單地計(jì)算購(gòu)置成本,還必須考慮其總

49、擁有成本。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會(huì)在TCO中占據(jù)較大的比例。一家優(yōu)秀秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。 </p><p>　　(4)可擴(kuò)充性，在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒(méi)有必要購(gòu)置過(guò)于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加,網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升,此時(shí)便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購(gòu)置的防火墻沒(méi)

50、有可擴(kuò)充性,或擴(kuò)充成本極高,這便是對(duì)投資的浪費(fèi)。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購(gòu)基本系統(tǒng),而隨著要求的提高,用戶仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶的投資,對(duì)提供防火墻產(chǎn)品的廠商來(lái)說(shuō),也擴(kuò)大了產(chǎn)品覆蓋面。</p><p>　　4.3防火墻的安全性和局限性</p><p>　　防火墻產(chǎn)品最難評(píng)估的方面是防火墻的安全性能,即防火墻是否能夠有

51、效地阻擋外部入侵。這一點(diǎn)同防火墻自身的安全性一樣,普通用戶通常無(wú)法判斷。即使安裝好了防火墻,如果沒(méi)有實(shí)際的外部入侵,也無(wú)從得知產(chǎn)品性能的優(yōu)劣。但在實(shí)際應(yīng)用中檢測(cè)安全產(chǎn)品的性能是極為危險(xiǎn)的,所以用戶在選擇防火墻產(chǎn)品時(shí),應(yīng)該盡量選擇占市場(chǎng)份額較大同時(shí)又通過(guò)了權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測(cè)試的產(chǎn)品。防火墻局限性也降低了安全系數(shù)，防火墻不能防范不經(jīng)由防火墻的攻擊。如果內(nèi)部網(wǎng)用戶直接從Internet服務(wù)提供那里購(gòu)置直接的SLIP或PPP連接，則饒過(guò)了防火墻

52、系統(tǒng)所提供的安全保護(hù)，從而造成了一個(gè)潛在的后門攻擊渠道。防火墻不能防范人為因素的攻擊。例如，內(nèi)奸或用戶操作造成的威脅，以及由于口令泄露而受到的攻擊。防火墻不能防止受病毒感染的軟件或文件的傳輸。由于操作系統(tǒng)、病毒、二進(jìn)制文件類型（加密、壓縮）的種類太多且更新很快，所以防火墻無(wú)法逐個(gè)掃描每個(gè)文件以查找病毒。防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊。當(dāng)有些表面看來(lái)無(wú)害的數(shù)據(jù)郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時(shí)，可能會(huì)發(fā)生數(shù)據(jù)驅(qū)動(dòng)式的攻擊。例如，一種數(shù)據(jù)

53、驅(qū)動(dòng)式的攻擊可以使主機(jī)修改或系統(tǒng)安全有關(guān)的配置文件，從而使</p><p><b>　　第5章 加密技術(shù)</b></p><p>　　信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端-端加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)；節(jié)點(diǎn)

54、加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。信息加密過(guò)程是由形形色色的加密算法來(lái)具體實(shí)施，它以很小的代價(jià)提供很大的安全保護(hù)。在多數(shù)情況下，信息加密是保證信息機(jī)密性的唯一方法。據(jù)不完全統(tǒng)計(jì)，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達(dá)數(shù)百種。如果按照收發(fā)雙方密鑰是否相同來(lái)分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。常規(guī)密碼的優(yōu)點(diǎn)是有很強(qiáng)的保密強(qiáng)度，且經(jīng)受住時(shí)間的檢驗(yàn)和攻擊，但其密

55、鑰必須通過(guò)安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。在公鑰密碼中，收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰。比較著名的公鑰密碼算法有：RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識(shí)證明的算法、橢園曲線、EI</p><p>　　5.1 對(duì)稱加密技術(shù)</p><p>　　在對(duì)

56、稱加密技術(shù)中，對(duì)信息的加密和解密都使用相同的鑰，也就是說(shuō)一把鑰匙開一把鎖。這種加密方法可簡(jiǎn)化加密處理過(guò)程，信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露，那么機(jī)密性和報(bào)文完整性就可以得以保證。對(duì)稱加密技術(shù)也存在一些不足，如果交換一方有N個(gè)交換對(duì)象，那么他就要維護(hù)N個(gè)私有密鑰，對(duì)稱加密存在的另一個(gè)問(wèn)題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過(guò)這把密鑰加密后傳送給對(duì)方的。如三重DES是DES（數(shù)據(jù)加密

57、標(biāo)準(zhǔn)）的一種變形，這種方法使用兩個(gè)獨(dú)立的56為密鑰對(duì)信息進(jìn)行3次加密，從而使有效密鑰長(zhǎng)度達(dá)到112位。</p><p>　　5.2 非對(duì)稱加密/公開密匙加密</p><p>　　在非對(duì)稱加密體系中，密鑰被分解為一對(duì)（即公開密鑰和私有密鑰）。這對(duì)密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過(guò)非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，

58、私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對(duì)應(yīng)于生成密鑰的交換方。非對(duì)稱加密方式可以使通信雙方無(wú)須事先交換密鑰就可以建立安全通信，廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對(duì)稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上，是計(jì)算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。</p><p><b>　　5.3 RSA算法</b></p>&

59、lt;p>　　RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個(gè)完善的公鑰密碼體制，其安全性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個(gè)基本事實(shí)：到目前為止，無(wú)法找到一個(gè)有效的算法來(lái)分解兩大素?cái)?shù)之積。RSA算法的描述如下： </p><p>　　公開密鑰：n=pq(p、q分別為兩個(gè)互異的大素?cái)?shù)，p、q必須保密) </p><p>　　e與（p-1

60、）(q-1)互素 </p><p>　　私有密鑰：d=e-1 {mod(p-1)(q-1)} </p><p>　　加密：c=me(mod n),其中m為明文，c為密文。 </p><p>　　解密：m=cd(mod n) </p><p>　　利用目前已經(jīng)掌握的知識(shí)和理論，分解2048bit的大整數(shù)已經(jīng)超過(guò)了64位計(jì)算機(jī)的運(yùn)算能力，因此在目

61、前和預(yù)見的將來(lái)，它是足夠安全的。</p><p><b>　　5.4 MD5</b></p><p>　　MD5有RonRivest所設(shè)計(jì)。該編碼算法采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文，這一串密文亦稱為數(shù)字指紋（Finger Print）,它有固定的長(zhǎng)度，且不同的明文摘要成密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這樣這串摘要

62、便成為驗(yàn)證明文是否是“真身”的“指紋”了。</p><p>　　PKI（Publie Key Infrastucture）技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過(guò)網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動(dòng)缺少物理接觸，因此使得用電子方式驗(yàn)證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù)，

63、他能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全問(wèn)題。一個(gè)實(shí)用的PKI體系應(yīng)該是安全的易用的、靈活的和經(jīng)濟(jì)的。它必須充分考慮互操作性和可擴(kuò)展性。它是認(rèn)證機(jī)構(gòu)（CA）、注冊(cè)機(jī)構(gòu)（RA）、策略管理、密鑰（Key）與證書（Certificate）管理、密鑰備份與恢復(fù)、撤消系統(tǒng)等功能模塊的有機(jī)結(jié)合。如圖5-1所示。</p><p>　　圖5-1 PKI技術(shù)</p><

64、p><b>　　第6章 網(wǎng)絡(luò)日志</b></p><p>　　網(wǎng)絡(luò)管理是一個(gè)經(jīng)驗(yàn)積累的過(guò)程，是一個(gè)不斷再學(xué)習(xí)的過(guò)程。而網(wǎng)絡(luò)日志則為大家經(jīng)驗(yàn)的積累提供了一個(gè)很好的工具。在我們的日常的網(wǎng)絡(luò)管理工作中，形成了一個(gè)慣例：將當(dāng)天遇到的問(wèn)題與解決方法填寫在網(wǎng)絡(luò)日志中，然后每個(gè)月將這些東西進(jìn)行整理歸類到一個(gè)名為網(wǎng)絡(luò)管理的FAQ中。FAQ以一問(wèn)一答的方式收集內(nèi)容，以WEB形式共享。這樣，當(dāng)網(wǎng)管人員以后

65、遇到問(wèn)題時(shí)，可以先在這里尋找答案，大大提高了解決問(wèn)題、排除故障的效率。</p><p><b>　　6.1故障排查</b></p><p>　　飛機(jī)失事時(shí)，大家總是去尋找那個(gè)記錄著失事前的一些情況的黑匣子，以便能夠通過(guò)了解失事前的情況，推測(cè)出飛機(jī)失事的原因。而網(wǎng)絡(luò)日志對(duì)于故障排除正是起到黑匣子的功能，如果你能夠認(rèn)真做好日志，那么當(dāng)網(wǎng)絡(luò)故障出現(xiàn)的時(shí)候，你就可以通過(guò)察看網(wǎng)

66、絡(luò)日志，了解到故障發(fā)生前的一些網(wǎng)絡(luò)情況，從而推測(cè)出故障的原因所在。下面，我們就通過(guò)幾個(gè)例子來(lái)說(shuō)明，如果通過(guò)網(wǎng)絡(luò)日志來(lái)排除故障：</p><p>　　例一：在企業(yè)內(nèi)部的一臺(tái)應(yīng)用服務(wù)器，操作系統(tǒng)是Windows NT 4.0，在上面運(yùn)行著一個(gè)通訊網(wǎng)關(guān)程序。有一天一上班，就發(fā)現(xiàn)這個(gè)通訊網(wǎng)關(guān)程序罷工了。到該服務(wù)器前面一看，這個(gè)程序異常退出了，而且再也啟動(dòng)不起來(lái)。這時(shí)，網(wǎng)絡(luò)管理人員迅速查找網(wǎng)絡(luò)日志，發(fā)現(xiàn)在昨天下午下班后，另

67、一名網(wǎng)絡(luò)管理人員為了提高安全性，在該服務(wù)器上打上了SP6，然后關(guān)機(jī)下班。因此，網(wǎng)絡(luò)管理人員馬上與該程序的開發(fā)商取得了聯(lián)系，確認(rèn)了該程序與SP6存在不兼容的情況，并取得了修改過(guò)該問(wèn)題的新版程序，順利的解決了該問(wèn)題。在本例中，通過(guò)查看網(wǎng)絡(luò)日志，尋找到了變動(dòng)因素，從而找到引起該問(wèn)題的原因，而且少走了很多彎路，這就是網(wǎng)絡(luò)日志所起的作用。</p><p>　　例二：有一段時(shí)間，企業(yè)內(nèi)部網(wǎng)絡(luò)突然出現(xiàn)了一個(gè)奇怪的現(xiàn)象，每天中午

68、大家都無(wú)法正常收發(fā)E-Mail，經(jīng)常超時(shí)，數(shù)據(jù)傳輸奇慢。一開始，我們認(rèn)為是中午大家上網(wǎng)的人數(shù)多了，而且最近新增了不少員工，可能使得網(wǎng)絡(luò)帶寬消耗太大。為了能夠找出原因，我們首先連續(xù)幾個(gè)中午進(jìn)行網(wǎng)絡(luò)流量監(jiān)測(cè)，并將結(jié)果記錄下來(lái)。然后翻開網(wǎng)絡(luò)日志，查看在發(fā)生該情況之前的網(wǎng)絡(luò)流量的數(shù)據(jù)，發(fā)現(xiàn)這幾個(gè)中午的網(wǎng)絡(luò)流量居然是平時(shí)最大值的10多倍。我們覺(jué)得這樣的情況肯定不是新員工的增加引起的。因而，我們繼續(xù)進(jìn)行了網(wǎng)絡(luò)監(jiān)控，試圖尋找出這個(gè)數(shù)據(jù)的來(lái)源，結(jié)果用S

69、niffer監(jiān)聽到了一臺(tái)PC在源源不斷地向外廣播大量的數(shù)據(jù)包。我們找到這臺(tái)機(jī)的用戶，然后向他了解中午通常使用什么程序，他說(shuō)是在用“超級(jí)解霸”看VCD，結(jié)果我們打開他的“超級(jí)解霸”,發(fā)現(xiàn)他誤設(shè)置打開了DVB數(shù)字視頻廣播，向整個(gè)局域網(wǎng)用戶進(jìn)行視頻廣播，正是這個(gè)原因?qū)е铝司W(wǎng)絡(luò)阻塞。試想如果沒(méi)有網(wǎng)絡(luò)日志的數(shù)據(jù)，我們可能無(wú)法得知網(wǎng)絡(luò)數(shù)據(jù)的增長(zhǎng)到底有多大，是不是與新增員工成比例，就可能會(huì)盲目采用新增帶寬的方式來(lái)解決，那當(dāng)然是事與愿違的結(jié)果了。<

70、;/p><p>　　6.2 日志統(tǒng)計(jì)的重要性</p><p>　　網(wǎng)絡(luò)日志記錄了網(wǎng)絡(luò)日常運(yùn)營(yíng)的狀態(tài)信息，這些信息顯示了網(wǎng)絡(luò)的動(dòng)態(tài)情況，有了這些情況，就可以正確地做出網(wǎng)絡(luò)升級(jí)的決策，使得網(wǎng)絡(luò)升級(jí)能夠落到實(shí)處，解決問(wèn)題的關(guān)鍵點(diǎn)。同時(shí)，網(wǎng)絡(luò)日志還為網(wǎng)絡(luò)升級(jí)提供了詳細(xì)的數(shù)據(jù)依據(jù)，為決策提供了第一手素材。</p><p>　　例如，每年底，企業(yè)領(lǐng)導(dǎo)要求我提交一個(gè)關(guān)于新的一年中網(wǎng)絡(luò)

71、升級(jí)的需求報(bào)告時(shí)，我們總是打開今天的網(wǎng)絡(luò)日志，進(jìn)行以下幾個(gè)方面的統(tǒng)計(jì)，以便制定相應(yīng)的升級(jí)計(jì)劃：</p><p>　　(1)對(duì)網(wǎng)絡(luò)日志的網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行分類統(tǒng)計(jì)，獲取以下信息：</p><p>　　網(wǎng)絡(luò)流量增長(zhǎng)率：通過(guò)對(duì)每個(gè)階段的網(wǎng)絡(luò)流量繪制成為直方圖或趨勢(shì)線圖，就可以直觀地知道網(wǎng)絡(luò)流量的需求變化情況。如果網(wǎng)絡(luò)流量有明顯的放大，就可以從增長(zhǎng)的趨勢(shì)中找到規(guī)律，知道在什么時(shí)候會(huì)超過(guò)現(xiàn)在網(wǎng)絡(luò)的負(fù)載

72、，及時(shí)的提前做好升級(jí)工作。網(wǎng)絡(luò)流量高峰時(shí)期：可以在網(wǎng)絡(luò)日志中尋找到網(wǎng)絡(luò)流量高峰的時(shí)期，并根據(jù)這些數(shù)據(jù)尋找問(wèn)題的原因，然后制定相應(yīng)的規(guī)范來(lái)解決。如經(jīng)常發(fā)現(xiàn)每天中午是高峰期，而這時(shí)公司的高層經(jīng)理經(jīng)常無(wú)法正常收取電子郵件，那么就可以采用流量分配的策略，為公司的高層經(jīng)理分配一個(gè)固定的帶寬，以保證業(yè)務(wù)需要。</p><p>　　(2)對(duì)網(wǎng)絡(luò)中病毒記錄進(jìn)行統(tǒng)計(jì)，就可以得知現(xiàn)行的病毒防治策略是否有效，例如網(wǎng)絡(luò)日志中體現(xiàn)出了宏病

73、毒的發(fā)作率較高，那么就應(yīng)該根據(jù)這一情況，對(duì)病毒防治策略中加強(qiáng)宏病毒的能力，如選擇對(duì)宏病毒防治更有力的病毒防火墻等。</p><p>　　(3)另外，我們還可以從網(wǎng)絡(luò)日志中，發(fā)現(xiàn)每一個(gè)網(wǎng)絡(luò)服務(wù)器的負(fù)載變化情況，然后根據(jù)這一情況，制定網(wǎng)絡(luò)服務(wù)器的軟硬件升級(jí)計(jì)劃。</p><p>　　6.3 安全審核和日志分析技巧</p><p>　　(1)是審核的對(duì)象 </p&g

74、t;<p>　　在2000系統(tǒng)中，有安全審核策略，但默認(rèn)是關(guān)閉的，需要手工在安全策略中打開。在打開時(shí)需要定義審核的對(duì)象，在這里，你要定義好你所需要審核的對(duì)象。不要一骨腦全選上，結(jié)果是在日志中有一大堆的記錄，都不知道看什么好。 </p><p><b>　　(2)審核的方式</b></p><p>　　除了系統(tǒng)安全審核（如用戶登錄、注銷、目錄訪問(wèn)等），系統(tǒng)

75、還有訪問(wèn)審核和文件審核。你可以對(duì)重要文件加以嚴(yán)格審核，可以審核到哪些人什么時(shí)間使用了該文件，做了什么操作等。這些需要在資源管理器里自己設(shè)（必須是NTFS格式）。 </p><p>　　(3)日志的位置和分析</p><p>　　事件里的安全日志是系統(tǒng)安全審核的記錄所在，應(yīng)根據(jù)你選擇的審核對(duì)象和記錄產(chǎn)生速度定義好大小，一般建議為1024M，也就是1G，并定義處理方式為覆蓋30天前的數(shù)據(jù)，這樣

76、日志中就可以保存30天的數(shù)據(jù)資料，應(yīng)該夠用了，如果你選擇了按需要覆蓋，則系統(tǒng)記錄滿后將自動(dòng)覆蓋最早的數(shù)據(jù)（不建議），如果你選擇了手工清除，請(qǐng)確保你的日志大小足夠大。安全日志記錄滿后如果不能自動(dòng)處理，將禁止用戶使用計(jì)算機(jī)的。安全日志不能正確記錄時(shí)，系統(tǒng)將立即關(guān)閉計(jì)算機(jī)。這些也可以在策略中修改。這里需要特別注意的是，當(dāng)發(fā)現(xiàn)一個(gè)審核失敗時(shí)，并不一定意味著是一個(gè)安全問(wèn)題，在正常操作中，偶然也會(huì)發(fā)生目錄訪問(wèn)或特權(quán)使用失敗的情況，應(yīng)特殊問(wèn)題特殊對(duì)待

77、。 IIS（WEB管理）的日志是在IIS中設(shè)置的，你可以在IIS管理器的站點(diǎn)中設(shè)置日志的位置、周期和記錄內(nèi)容。這里特別要強(qiáng)調(diào)一下，協(xié)議狀態(tài)是很重要的參數(shù)，它指示著協(xié)議是否正確有效的被執(zhí)行了。這是判斷是否有人通過(guò)IIS執(zhí)行過(guò)特殊命令的有效方式。同樣記錄的內(nèi)容不要太亂，否則將給日志的分析帶來(lái)困難。 TS（終端服務(wù)）的日志默認(rèn)是沒(méi)有的，需要在終端配置管理中啟用日志審核。 對(duì)于日志的分析，應(yīng)注意時(shí)間、</p><p>&

78、lt;b>　　結(jié) 論</b></p><p>　　網(wǎng)絡(luò)安全管理體系的建立網(wǎng)絡(luò)安全管理體系構(gòu)建是以安全策略為核心，以安全技術(shù)作為支撐，以安全管理作為落實(shí)手段，完善安全體系賴以生存的大環(huán)境。</p><p>　　安全策略是一個(gè)成功的網(wǎng)絡(luò)安全體系的基礎(chǔ)與核心。安全策略包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和為了網(wǎng)絡(luò)安全、穩(wěn)定、可持續(xù)發(fā)展能夠承受的安全風(fēng)險(xiǎn)，保護(hù)對(duì)象的安全優(yōu)先級(jí)等方面的內(nèi)容。安全技術(shù)

79、的應(yīng)用常見的安全技術(shù)主要包括防火墻、安全漏洞掃描、安全評(píng)估分析、網(wǎng)管軟件、入侵檢測(cè)、網(wǎng)絡(luò)陷阱、備份恢復(fù)和病毒防范等。在網(wǎng)絡(luò)安全體系中各種安全技術(shù)要合理部署，互聯(lián)互動(dòng)，形成一個(gè)有機(jī)的整體。安全管理安全管理貫穿整個(gè)安全防范體系，是安全防范體系的核心，代表了安全防范體系中人的因素。安全管理更主要的是對(duì)安全技術(shù)和安全策略的管理。用戶的安全意識(shí)是信息系統(tǒng)是否安全的決定因素，除了在網(wǎng)絡(luò)中心部署先進(jìn)的網(wǎng)絡(luò)結(jié)構(gòu)和功能強(qiáng)大的安全工具外，從制度上、應(yīng)用上和

80、技術(shù)上加強(qiáng)網(wǎng)絡(luò)安全管理。</p><p>　　由于網(wǎng)絡(luò)的連通性，在享受網(wǎng)絡(luò)便利的同時(shí)，用戶的信息資源便有被暴露的可能。因?yàn)榫W(wǎng)絡(luò)中總有這樣那樣好奇的或攻擊性的實(shí)體存在，對(duì)個(gè)人而言，可能表現(xiàn)在私生活的公開化，從而帶來(lái)一些意想不到的麻煩。而對(duì)于信息網(wǎng)絡(luò)涉及到的國(guó)家政府、軍事、文教等諸多領(lǐng)域，由于其中存貯、傳輸和處理的信息有許多是政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)帳、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息，甚

81、至是國(guó)家機(jī)密，如果這些信息被侵犯，則會(huì)在政治、經(jīng)濟(jì)等方面帶來(lái)不可估量的的損失。因此，網(wǎng)絡(luò)安全就顯得尤其重要。</p><p>　　總之，計(jì)算機(jī)網(wǎng)絡(luò)安全策略是一個(gè)綜合性的課題，涉及技術(shù)、管理、使用等許多方面，既包括信息系統(tǒng)本身的安全問(wèn)題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問(wèn)題，而不是萬(wàn)能的。為此建立有中國(guó)特色的網(wǎng)絡(luò)安全體系，需要國(guó)家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面

82、，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來(lái)也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。</p><p><b>　　致 謝</b></p><p>　　走的最快的總是時(shí)間，來(lái)不及感嘆，大學(xué)生活已近尾聲，三年多的努力與付出，隨著本次論文的完成，將要?jiǎng)澫峦昝赖木涮?hào)。</p><p>　　從課題選擇到具體的寫作過(guò)程，無(wú)不凝聚著xx老師的心血和汗水。他的循循

83、善誘的教導(dǎo)和不拘一格的思路給予我無(wú)盡的啟迪，他的淵博的專業(yè)知識(shí)，精益求精的工作作風(fēng)，嚴(yán)以律己、寬以待人的崇高風(fēng)范，將一直是我工作、學(xué)習(xí)中的榜樣。在我的畢業(yè)論文寫作期間，老師為我提供了種種專業(yè)知識(shí)上的指導(dǎo)和一些富于創(chuàng)造性的建議，沒(méi)有這樣的幫助和關(guān)懷，我不會(huì)這么順利的完成畢業(yè)論文。在此向xx老師表示深深的感謝和崇高的敬意。</p><p>　　同時(shí)，論文的順利完成，離不開其它各位老師、同學(xué)和朋友的關(guān)心和幫助。在整個(gè)的

84、論文寫作中，各位老師、同學(xué)和朋友積極的幫助我查資料和提供有利于論文寫作的建議和意見，讓我把握了畢業(yè)論文答辯怎么寫。在在他們的幫助下，論文得以不斷的完善，終極幫助我完整的寫完了整個(gè)論文。</p><p>　　最后，也是最重要的，我要感謝我的父母，由于沒(méi)有他們，就沒(méi)有現(xiàn)在站在這里的我，是他們賜與我生命，賜與我大學(xué)的機(jī)會(huì)，是他們創(chuàng)就今天的我。對(duì)于你們，我充滿了無(wú)窮的感激。</p><p><

85、;b>　　參考文獻(xiàn)</b></p><p>　　[1]雷震甲.網(wǎng)絡(luò)工程師教程.[M].北京：清華大學(xué)出版社，2004.</p><p>　　[2]郭軍.網(wǎng)絡(luò)管理.[M].北京：北京郵電大學(xué)出版社，2001.</p><p>　　[3]勞幗齡.網(wǎng)絡(luò)安全與管理.[M].北京：高等教育出版社，2003.</p><p&g

86、t;　　[4]祁明.網(wǎng)絡(luò)安全與保密.[M].北京：高等教育出版社，2001.</p><p>　　[5] 蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù).中國(guó)水利水電出版社.2001.</p><p>　　[6] 陳三堰.網(wǎng)絡(luò)攻防技術(shù)與實(shí)踐.北京科海電子出版社.2006.5.</p><p>　　[7] 卿斯?jié)h.安全協(xié)議.清華大學(xué)出版社.2005.4.</p>&

87、lt;p>　　[8] 張友生.計(jì)算機(jī)病毒與木馬程序剖析.北京科海電子出版社.2003</p><p>　　[9] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第4版)[M].北京:電子工業(yè)出版社,2003</p><p>　　[10] 胡道元.計(jì)算機(jī)局域網(wǎng)[M].北京:清華大學(xué)出版社,2001.</p><p>　　[11] 張紅旗．信息網(wǎng)絡(luò)安全[M]．清華大學(xué)出版社，2002.