網(wǎng)絡新技術的概論

1、網(wǎng)絡安全新技術的概述針對計算機網(wǎng)絡系統(tǒng)存在的安全性和可靠性問題，本文從網(wǎng)絡安全的重要性、理論基礎、具備功能以及解決措施等方面提出一些見解，并且進行了詳細闡述，以使廣大用戶在計算機網(wǎng)絡方面增強安全防范意識。關鍵詞：網(wǎng)絡管理 計算機網(wǎng)絡虛擬專用網(wǎng)技術加密技術防火墻一、 網(wǎng)絡管理技術概述 網(wǎng)絡管理這一學科領域自20世紀80年代起逐漸受到重視，許多國際標準化組織、論壇和科研機構都先后開發(fā)了各類標準、協(xié)議來指導網(wǎng)絡管理與設計，但各種網(wǎng)絡系統(tǒng)在結構上存在著或大或小的差異，至今還沒有一個大家都能接受的標準。當前，網(wǎng)絡管理技術主要有以下三種：誕生于Internte家族的SNMP是專門用于對Internet進行

2、管理的，雖然它有簡單適用等特點，已成為當前網(wǎng)絡界的實際標準，但由于Internet本身發(fā)展的不規(guī)范性，使SNMP有先天性的不足，難以用于復雜的網(wǎng)絡管理，只適用于TCP/IP網(wǎng)絡，在安全方面也有欠缺。已有SNMPv1和SNMPv2兩種版本，其中SNMPv2主要在安全方面有所補充。隨著新的網(wǎng)絡技術及系統(tǒng)的研究與出現(xiàn)，電信網(wǎng)、有線網(wǎng)、寬帶網(wǎng)等的融合，使原來的SNMP已不能滿足新的網(wǎng)絡技術的要求；CMIP可對一個完整的網(wǎng)絡管理方案提供全面支持，在技術和標準上比較成熟.最大的優(yōu)勢在于，協(xié)議中的變量并不僅僅是與終端相關的一些信息，而且可以被用于完成某些任務，但正由于它是針對SNMP的不足而設計的，因此過于

3、復雜，實施費用過高，還不能被廣泛接受；分布對象網(wǎng)絡管理技術是將CORBA技術應用于網(wǎng)絡管理而產(chǎn)生的，主要采用了分布對象技術將所有的管理應用和被管元素都看作分布對象，這些分布對象之間的交互就構成了網(wǎng)絡管理.此方法最大的特點是屏蔽了編程語言、網(wǎng)絡協(xié)議和操作系統(tǒng)的差異，提供了多種透明性，因此適應面廣，開發(fā)容易，應用前景廣闊.SNMP和CMIP這兩種協(xié)議由于各自有其擁護者，因而在很長一段時期內(nèi)不會出現(xiàn)相互替代的情況，而如果由完全基于CORBA的系統(tǒng)來取代，所需要的時間、資金以及人力資源等都過于龐大，也是不能接受的.所以，CORBA，SNMP，CMIP相結合成為基于CORBA的網(wǎng)絡管理系統(tǒng)是當前研究的主

4、要方向。 2.網(wǎng)絡管理協(xié)議 網(wǎng)絡管理協(xié)議一般為應用層級協(xié)議，它定義了網(wǎng)絡管理信息的類別及其相應的確切格式，并且提供了網(wǎng)絡管理站和網(wǎng)絡管理節(jié)點間進行通訊的標準或規(guī)則。 網(wǎng)絡管理系統(tǒng)通常由管理者(Manager)和代理( Agent)組成，管理者從各代理那兒采集管理信息，進行加工處理，從而提供相應的網(wǎng)絡管理功能，達到對代理管理之目的。即管理者與代理之間孺要利用網(wǎng)絡實現(xiàn)管理信息交換，以完成各種管理功能，交換管理信息必須遵循統(tǒng)一的通信規(guī)約，我們稱這個通信規(guī)約為網(wǎng)絡管理協(xié)議。 目前有兩大網(wǎng)管協(xié)議，一個是由IETF提出來的簡單網(wǎng)絡管理協(xié)議SNMP，它是基于TCP / IP和Internet的。因為TCP/

5、IP協(xié)議是當今網(wǎng)絡互連的工業(yè)標準，得到了眾多廠商的支持，因此SNMP是一個既成事實的網(wǎng)絡管理標準協(xié)議。SNMP的特點主要是采用輪詢監(jiān)控，管理者按一定時間間隔向代理者請求管理信息，根據(jù)管理信息判斷是否有異常事件發(fā)生。輪詢監(jiān)控的主要優(yōu)點是對代理的要求不高；缺點是在廣域網(wǎng)的情形下，輪詢不僅帶來較大的通信開銷，而且輪詢所獲得的結果無法反映最新的狀態(tài)。 另一個是ISO定義的公共管理信息協(xié)議CMIP。CMIP是以OSI的七層協(xié)議棧作為基礎，它可以對開放系統(tǒng)互連環(huán)境下的所有網(wǎng)絡資源進行監(jiān)測和控制，被認為是未來網(wǎng)絡管理的標準協(xié)議。CMIP的特點是采用委托監(jiān)控，當對網(wǎng)絡進行監(jiān)控時，管理者只需向代理發(fā)出一個監(jiān)控請

6、求，代理會自動監(jiān)視指定的管理對象，并且只是在異常事件(如設備、線路故障)發(fā)生時才向管理者發(fā)出告警，而且給出一段較完整的故障報告，包括故障現(xiàn)象、故障原因。委托監(jiān)控的主要優(yōu)點是網(wǎng)絡管理通信的開銷小、反應及時，缺點是對代理的軟硬件資源要求高，要求被管站上開發(fā)許多相應的代理程序，因此短期內(nèi)尚不能得到廣泛的支持。 3.網(wǎng)絡管理系統(tǒng)的組成 網(wǎng)絡管理的需求決定網(wǎng)管系統(tǒng)的組成和規(guī)模，任何網(wǎng)管系統(tǒng)無論其規(guī)模大小如何，基本上都是由支持網(wǎng)管協(xié)議的網(wǎng)管軟件平臺、網(wǎng)管支撐軟件、網(wǎng)管工作平臺和支撐網(wǎng)管協(xié)議的網(wǎng)絡設備組成。 網(wǎng)管軟件平臺提供網(wǎng)絡系統(tǒng)的配置、故障、性能以及網(wǎng)絡用戶分布方面的基本管理。目前決大多數(shù)網(wǎng)管軟件平臺都

7、是在UNIX 和DOS/WINDOWS平臺上實現(xiàn)的。目前公認的三大網(wǎng)管軟件平臺是：HP View、IBM Netview和SUN Netmanager。雖然它們的產(chǎn)品形態(tài)有不同的操作系統(tǒng)的版本，但都遵循SNMP協(xié)議和提供類似的網(wǎng)管功能。 不過，盡管上述網(wǎng)管軟件平臺具有類似的網(wǎng)管功能，但是它們在網(wǎng)管支撐軟件的支持、系統(tǒng)的可靠性、用戶界面、操作功能、管理方式和應用程序接口，以及數(shù)據(jù)庫的支持等方面都存在差別。可能在其它操作系統(tǒng)之上實現(xiàn)的Netview、Openview、Netmanager軟件平臺版本僅是標準Netview、Openview、Netmanager的子集。例如，在MS Windows操

8、作系統(tǒng)上實現(xiàn)的Netview 網(wǎng)管軟件平臺版本Netview for Windows 便僅僅只是Netview的子集。 網(wǎng)管支撐軟件是運行于網(wǎng)管軟件平臺之上，支持面向特定網(wǎng)絡功能、網(wǎng)絡設備和操作系統(tǒng)管理的支撐軟件系統(tǒng)。 網(wǎng)絡設備生產(chǎn)廠商往往為其生產(chǎn)的網(wǎng)絡設備開發(fā)專門的網(wǎng)絡管理軟件。這類軟件建立在網(wǎng)絡管理平臺之上，針對特定的網(wǎng)絡管理設備，通過應用程序接口與平臺交互，并利用平臺提供的數(shù)據(jù)庫和資源，實現(xiàn)對網(wǎng)絡設備的管理，比如Cisco Works就是這種類型的網(wǎng)絡管理軟件，它可建立在HP Open View和IBM Netview等管理平臺之上，管理廣域互聯(lián)網(wǎng)絡中的Cisco路由器及其它設備。通過它

9、，可以實現(xiàn)對Cisco的各種網(wǎng)絡互聯(lián)設備（如路由器、交換機等）進行復雜網(wǎng)絡管理。4.網(wǎng)絡管理的體系結構 網(wǎng)絡管理系統(tǒng)的體系結構（簡稱網(wǎng)絡拓撲）是決定網(wǎng)絡管理性能的重要因素之一。通?？梢苑譃榧惺胶头羌惺絻深愺w系結構。 目前，集中式網(wǎng)管體系結構通常采用以平臺為中心的工作模式，該工作模式把單一的管理者分成兩部分：管理平臺和管理應用。管理平臺主要關心收集的信息并進行簡單的計算，而管理應用則利用管理平臺提供的信息進行決策和執(zhí)行更高級的功能。 非集中方式的網(wǎng)絡管理體系結構包括層次方式和分布式。層次方式采用管理者的管理者MOM（Manager of manager）的概念，以域為單位，每個域有一個管理者

10、，它們之間的通訊通過上層的MOM，而不直接通訊。層次方式相對來說具有一定的伸縮性：通過增加一級MOM，層次可進一步加深。分布式是端對端（peer to peer）的體系結構，整個系統(tǒng)有多個管理方，幾個對等的管理者同時運行于網(wǎng)絡中，每個管理者負責管理系統(tǒng)中一個特定部分 “域”，管理者之間可以相互通訊或通過高級管理者進行協(xié)調。 對于選擇集中式還是非集中式，這要根據(jù)實際場合的需要來決定。而介于兩者之間的部分分布式網(wǎng)管體系結構，則是近期發(fā)展起來的兼顧兩者優(yōu)點的一種新型網(wǎng)管體系結構。二、幾種常見的網(wǎng)絡管理技術 1.基于WEB的網(wǎng)絡管理模式 隨著 Internet技術的廣泛應用，Intranet也正在悄然

11、取代原有的企業(yè)內(nèi)部局域網(wǎng)，由于異種平臺的存在及網(wǎng)絡管理方法和模型的多樣性， 使得網(wǎng)絡管理軟件開發(fā)和維護的費用很高， 培訓管理人員的時間很長， 因此人們迫切需要尋求高效、方便的網(wǎng)絡管理模式來適應網(wǎng)絡高速發(fā)展的新形勢。隨著Intranet和WEB 及其開發(fā)工具的迅速發(fā)展，基于WEB的網(wǎng)絡管理技術也因此應運而生?；赪EB的網(wǎng)管解決方案主要有以下幾方面的優(yōu)點：（1）地理上和系統(tǒng)間的可移動性：系統(tǒng)管理員可以在Intranet 上的任何站點或Internet的遠程站點上利用 WEB 瀏覽器透明存取網(wǎng)絡管理信息；（2）統(tǒng)一的WEB瀏覽器界面方便了用戶的使用和學習，從而可節(jié)省培訓費用和管理開銷；（3）管理應

12、用程序間的平滑鏈接：由于管理應用程序獨立于平臺，可以通過標準的HTTP協(xié)議將多個基于WEB的管理應用程序集成在一起，實現(xiàn)管理應用程序間的透明移動和訪問；（4）利用 JAVA技術能夠迅速對軟件進行升級。 為了規(guī)范和促進基于WEB的網(wǎng)管系統(tǒng)開發(fā)，目前已相繼公布了兩個主要推薦標準：WEBM和JMAPI。兩個推薦標準各有其特色，并基于不同的原理提出。 WEBM方案仍然支持現(xiàn)存的管理標準和協(xié)議，它通過WEB技術對不同管理平臺所提供的分布式管理服務進行集成，并且不會影響現(xiàn)有的網(wǎng)絡基礎結構。 JMAPI 是一種輕型的管理基礎結構，采用JMAPI來開發(fā)集成管理工具存在以下優(yōu)點：平臺無關、高度集成化、消除代理程

13、序版本分發(fā)問題、安全性和協(xié)議無關性。 2.分布對象網(wǎng)絡管理技術 目前廣泛采用的網(wǎng)絡管理系統(tǒng)模式是一種基于Client/Server技術的集中式平臺模式。由于組織結構簡單，自應用以來，已經(jīng)得到廣泛推廣，但同時也存在著許多缺陷：一個或幾個站點負責收集分析所有網(wǎng)絡節(jié)點信息，并進行相應管理，造成中心網(wǎng)絡管理站點負載過重；所有信息送往中心站點處理，造成此處通信瓶頸；每個站點上的程序是預先定義的，具有固定功能，不利于擴展。隨著網(wǎng)絡技術和網(wǎng)絡規(guī)模尤其是因特網(wǎng)的發(fā)展，集中式在可擴展性、可靠性、有效性、靈活性等方面有很大的局限，已不能適應發(fā)展的需要. 2.1CORBA技術 CORBA技術是對象管理組織OMG推出

14、的工業(yè)標準，主要思想是將分布計算模式和面向對象思想結合在一起，構建分布式應用。CORBA的主要目標是解決面向對象的異構應用之間的互操作問題，并提供分布式計算所需要的一些其它服務。OMG是CORBA平臺的核心，它用于屏蔽與底層平臺有關的細節(jié)，使開發(fā)者可以集中精力去解決與應用相關的問題，而不必自己去創(chuàng)建分布式計算基礎平臺。CORBA將建立在ORB之上的所有分布式應用看作分布計算對象，每個計算對象向外提供接口，任何別的對象都可以通過這個接口調用該對象提供的服務。CORBA同時提供一些公共服務設施，例如名字服務、事務服務等，借助于這些服務，CORBA可以提供位置透明性、移動透明性等分布透明性。 2.2

15、CORBA的一般結構 基于CORBA的網(wǎng)絡管理系統(tǒng)通常按照Client/Server的結構進行構造。其中，服務方是指針對網(wǎng)絡元素和數(shù)據(jù)庫組成的被管對象進行的一些基本網(wǎng)絡服務，例如配置管理、性能管理等.客戶方則是面向用戶的一些界面，或者提供給用戶進一步開發(fā)的管理接口等。其中，從網(wǎng)絡元素中獲取的網(wǎng)絡管理信息通常需要經(jīng)過CORBA/SNMP網(wǎng)關或CORBA/CMIP網(wǎng)關進行轉換，這一部分在有的網(wǎng)絡管理系統(tǒng)中被抽象成CORBA代理的概念.從以上分析可以看出，運用CORBA技術完全能夠實現(xiàn)標準的網(wǎng)絡管理系統(tǒng)。不僅如此，由于CORBA是一種分布對象技術，基于CORBA的網(wǎng)絡管理系統(tǒng)能夠克服傳統(tǒng)網(wǎng)絡管理技術

16、的不足，在網(wǎng)絡管理的分布性、可靠性和易開發(fā)性方面達到一個新的高度。 網(wǎng)絡信息安全是一個關系國家安全和主權、社會穩(wěn)定、民族文化繼承和發(fā)揚的重要問題。其重要性，正隨著全球信息化步伐的加快越來越重要。網(wǎng)絡信息安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。它主要是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。以影響計算機網(wǎng)絡安全的主要因素為突破口，重點分析防范各種不利于計算機網(wǎng)絡正常運行的措施，從不同角度全面了解影響計算機網(wǎng)絡安全的情況，做到心

17、中有數(shù)，將不利因素解決在萌芽狀態(tài)，確保計算機網(wǎng)絡的安全管理與有效運行 隨著計算機網(wǎng)絡的發(fā)展和Internet的廣泛普及，信息已經(jīng)成為現(xiàn)代社會生活的核心。國家政府機構、各企事業(yè)單位不僅大多建立了自己的局域網(wǎng)系統(tǒng)，而且通過各種方式與互聯(lián)網(wǎng)相連。通過上網(wǎng)樹立形象、拓展業(yè)務，已經(jīng)成為政府辦公、企業(yè)發(fā)展的重要手段。 一、計算機安全的定義 國際標準化組織（ISO）將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是

18、指對信息的保密性、完整性和可用性的保護，而網(wǎng)絡安全性的含義是信息安全的引申，即網(wǎng)絡安全是對網(wǎng)絡信息保密性、完整性和可用性的保護。 二、影響計算機網(wǎng)絡安全的主要因素 1、網(wǎng)絡系統(tǒng)本身的問題 目前流行的許多操作系統(tǒng)均存在網(wǎng)絡安全漏洞，如UNIX,MS NT 和Windows。黑客往往就是利用這些操作系統(tǒng)本身所存在的安全漏洞侵入系統(tǒng)。具體包括以下幾個方面：穩(wěn)定性和可擴充性方面，由于設計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮，因而使其受到影響；網(wǎng)絡硬件的配置不協(xié)調，一是文件服務器。它是網(wǎng)絡的中樞，其運行穩(wěn)定性、功能完善性直接影響網(wǎng)絡系統(tǒng)的質量。網(wǎng)絡應用的需求沒有引起足夠的重視，設計和選型考慮欠周密，從

19、而使網(wǎng)絡功能發(fā)揮受阻，影響網(wǎng)絡的可靠性、擴充性和升級換代。二是網(wǎng)卡用工作站選配不當導致網(wǎng)絡不穩(wěn)定；缺乏安全策略。許多站點在防火墻配置上無意識地擴大了訪問權限，忽視了這些權限可能會被其他人員濫用；訪問控制配置的復雜性，容易導致配置錯誤，從而給他人以可乘之機； 2、來自內(nèi)部網(wǎng)用戶的安全威脅來自內(nèi)部用戶的安全威脅遠大于外部網(wǎng)用戶的安全威脅，使用者缺乏安全意識，許多應用服務系統(tǒng)在訪問控制及安全通信方面考慮較少，并且，如果系統(tǒng)設置錯誤，很容易造成損失，管理制度不健全，網(wǎng)絡管理、維護任在一個安全設計充分的網(wǎng)絡中，人為因素造成的安全漏洞無疑是整個網(wǎng)絡安全性的最大隱患。網(wǎng)絡管理員或網(wǎng)絡用戶都擁有相應的權限 ,

20、利用這些權限破壞網(wǎng)絡安全的隱患也是存在的。如操作口令的泄漏 ,磁盤上的機密文件被人利用，臨時文件未及時刪除而被竊取，內(nèi)部人員有意無意的泄漏給黑客帶來可乘之機等，都可能使網(wǎng)絡安全機制形同虛設。 其自然。特別是一些安裝了防火墻的網(wǎng)絡系統(tǒng)，對內(nèi)部網(wǎng)用戶來說一點作用也不起。 3、缺乏有效的手段監(jiān)視、硬件設備的正確使用及評估網(wǎng)絡系統(tǒng)的安全性完整準確的安全評估是黑客入侵防范體系的基礎。它對現(xiàn)有或將要構建的整個網(wǎng)絡的安全防護性能作出科學、準確的分析評估，并保障將要實施的安全策略技術上的可實現(xiàn)性、經(jīng)濟上的可行性和組織上的可執(zhí)行性。網(wǎng)絡安全評估分析就是對網(wǎng)絡進行檢查，查找其中是否有可被黑客利用的漏洞，對系統(tǒng)安全

21、狀況進行評估、分析，并對發(fā)現(xiàn)的問題提出建議從而提高網(wǎng)絡系統(tǒng)安全性能的過程。評估分析技術是一種非常行之有效的安全技術 4、黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。然而 安全工具的更新速度太慢，絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對新出現(xiàn)的安全問題總是反應太慢。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時，其他的安全問題又出現(xiàn)了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊三、確保計算機網(wǎng)絡安全的防范措施 如何才能使我們的網(wǎng)絡百分之百的安全呢？對這個問題的最簡單的回答是：不可能。因為迄今還沒有一種技術可完全消除網(wǎng)絡安全漏洞。網(wǎng)絡的安

22、全實際上是理想中的安全策略和實際的執(zhí)行之間的一個平衡。從廣泛的網(wǎng)絡安全意義范圍來看，網(wǎng)絡安全不僅是技術問題，更是一個管理問題，它包含管理機構、法律、技術、經(jīng)濟各方面。我們可從提高網(wǎng)絡安全技術和人員素質入手，從目前來看。 1、依據(jù)互聯(lián)網(wǎng)信息服務管理辦法、互聯(lián)網(wǎng)站從事登載新聞業(yè)務管理暫行規(guī)定和中國互聯(lián)網(wǎng)絡域名注冊暫行管理辦法建立健全各種安全機制、各種網(wǎng)絡安全制度，加強網(wǎng)絡安全教育和培訓。 2、網(wǎng)絡病毒的防范。在網(wǎng)絡環(huán)境下，病毒 傳播擴散快，僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡病毒，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。學校、政府機關、企事業(yè)單位等網(wǎng)絡一般是內(nèi)部局域網(wǎng)，就需要一個基于服務器操作系統(tǒng)

23、平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連，就需要網(wǎng)關的防病毒軟件，加強上網(wǎng)計算機的安全。如果在網(wǎng)絡內(nèi)部使用電子郵件進行信息交換，還需要一套基于郵件服務器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品，針對網(wǎng)絡中所有可能的病毒攻擊點設置對應的防病毒軟件，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動升級，及時為每臺客戶端計算機打好補丁，加強日常監(jiān)測，使網(wǎng)絡免受病毒的侵襲。現(xiàn)在網(wǎng)絡版殺毒軟件比較多，如瑞星、江民、趨勢、金山毒霸等。 3、配置防火墻。利用防火墻，在網(wǎng)絡通訊時執(zhí)行一種訪問控制尺度，允許防火墻同意訪問的人

24、與數(shù)據(jù)進入自己的內(nèi)部網(wǎng)絡，同時將不允許的用戶與數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡，防止他們隨意更改、移動甚至刪除網(wǎng)絡上的重要信息。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制，防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部，根據(jù)不同網(wǎng)絡的安裝需求，做好防火墻內(nèi)服務器及客戶端的各種規(guī)則配置，更加有效利用好防火墻。 4、采用入侵檢測系統(tǒng)。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未 授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制

25、這些活動，以保護系統(tǒng)的安全。在學校、政府機關、企事業(yè)網(wǎng)絡中采用入侵檢測技術，最好采用混合入侵檢測，在網(wǎng)絡中同時采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)，則會構架成一套完整立體的主動防御體系，有的入侵檢測設備可以同防火強進行聯(lián)動設置。 5、Web，Email，BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡的www服務器、Email服務器等中使用網(wǎng)絡安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網(wǎng)絡， 截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、Email、FTP、Telnet應用的內(nèi)容 ，建立保存相應記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡上傳輸?shù)姆欠▋?nèi)容，及時向上級安全網(wǎng)管中 心報告，采取措施。 6、漏洞掃描系統(tǒng)。解決網(wǎng)絡層安

26、全問題，首先要清楚網(wǎng)絡中存在哪些安全隱患、脆弱點。面對大型網(wǎng)絡的復雜性和不斷變化的情況，僅僅依靠網(wǎng)絡管理員的技術和經(jīng)驗尋找安全漏洞、做出風險評估，顯然是不現(xiàn)實的。解決的方案是，尋找一種能查找網(wǎng)絡安全漏洞、評估并提出修改建議的網(wǎng)絡 安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下，可以利用各種黑客工具，對網(wǎng)絡模擬攻擊從而暴露出網(wǎng)絡的漏洞。 7、IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符，如果相符就

27、放行。否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。 8、利用網(wǎng)絡監(jiān)聽維護子網(wǎng)系統(tǒng)安全。對于網(wǎng)絡外部的入侵可以通過安裝防火墻來解決，但是對于網(wǎng)絡內(nèi)部的侵襲則無能為力。在這種情況下，我們可以采用對各個子網(wǎng)做一個具有一定功能的審計文件，為管理人員分析自己的網(wǎng)絡運作狀態(tài)提供依據(jù)。設計一個子網(wǎng)專用的監(jiān)聽程序。該軟件的主要功能為長期監(jiān)聽子網(wǎng)絡內(nèi)計算機間相互聯(lián)系的情況，為系統(tǒng)中各個服務器的審計文件提供備份。 網(wǎng)絡安全的重要性在信息化飛速發(fā)展的今天，計算機網(wǎng)絡得到了廣泛應用，但隨著網(wǎng)絡之間的信息傳輸量的急劇增長，一些機構和部門在得益于網(wǎng)絡加快業(yè)務運作的同時，其上網(wǎng)的數(shù)據(jù)也遭到了不同

28、程度的攻擊和破壞。攻擊者可以竊聽網(wǎng)絡上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容，偽造用戶身份，否認自己的簽名。更有甚者，攻擊者可以刪除數(shù)據(jù)庫內(nèi)容，摧毀網(wǎng)絡節(jié)點，釋放計算機病毒等等。這致使數(shù)據(jù)的安全性和自身的利益受到了嚴重的威脅。根據(jù)美國FBI（美國聯(lián)邦調查局）的調查，美國每年因為網(wǎng)絡安全造成的經(jīng)濟損失超過170億美元。75%的公司報告財政損失是由于計算機系統(tǒng)的安全問題造成的。超過50%的安全威脅來自內(nèi)部。而僅有59%的損失可以定量估算。在中國，針對銀行、證券等金融領域的計算機系統(tǒng)的安全問題所造成的經(jīng)濟損失金額已高達數(shù)億元，針對其他行業(yè)的網(wǎng)絡安全威脅也時有發(fā)生。由此可見，無論是

29、有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。所以，計算機網(wǎng)絡必須有足夠強的安全措施。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性。3網(wǎng)絡安全的理論基礎國際標準化組織（ISO）曾建議計算機安全的定義為：“計算機系統(tǒng)要保護其硬件、數(shù)據(jù)不被偶然或故意地泄露、更改和破壞。”為了幫助計算機用戶區(qū)分和解決計算機網(wǎng)絡安全問題，美國國防部公布了“桔皮書”（orangebook，正式名稱為“可信計算機系統(tǒng)標準評估準則”），對多用戶計算機系統(tǒng)安全級別的劃分進行了規(guī)定。桔皮書將計算機安全由低到高分為四類七級：D1

30、、C1、C2、B1、B2、B3、A1。其中D1級是不具備最低安全限度的等級，C1和C2級是具備最低安全限度的等級，B1和B2級是具有中等安全保護能力的等級，B3和A1屬于最高安全等級。D1級：計算機安全的最低一級，不要求用戶進行用戶登錄和密碼保護，任何人都可以使用，整個系統(tǒng)是不可信任的，硬件軟件都易被侵襲。C1級：自主安全保護級，要求硬件有一定的安全級（如計算機帶鎖），用戶必須通過登錄認證方可使用系統(tǒng)，并建立了訪問許可權限機制。C2級：受控存取保護級，比C1級增加了幾個特性：引進了受控訪問環(huán)境，進一步限制了用戶執(zhí)行某些系統(tǒng)指令；授權分級使系統(tǒng)管理員給用戶分組，授予他們訪問某些程序和分級目錄的權

31、限；采用系統(tǒng)審計，跟蹤記錄所有安全事件及系統(tǒng)管理員工作。B1級：標記安全保護級，對網(wǎng)絡上每個對象都予實施保護；支持多級安全，對網(wǎng)絡、應用程序工作站實施不同的安全策略；對象必須在訪問控制之下，不允許擁有者自己改變所屬資源的權限。B2級：結構化保護級，對網(wǎng)絡和計算機系統(tǒng)中所有對象都加以定義，給一個標簽；為工作站、終端等設備分配不同的安全級別；按最小特權原則取消權力無限大的特權用戶。B3級：安全域級，要求用戶工作站或終端必須通過信任的途徑連接到網(wǎng)絡系統(tǒng)內(nèi)部的主機上；采用硬件來保護系統(tǒng)的數(shù)據(jù)存儲區(qū)；根據(jù)最小特權原則，增加了系統(tǒng)安全員，將系統(tǒng)管理員、系統(tǒng)操作員和系統(tǒng)安全員的職責分離，將人為因素對計算機安

32、全的威脅減至最小。A1級：驗證設計級，是計算機安全級中最高一級，本級包括了以上各級別的所有措施，并附加了一個安全系統(tǒng)的受監(jiān)視設計；合格的個體必須經(jīng)過分析并通過這一設計；所有構成系統(tǒng)的部件的來源都必須有安全保證；還規(guī)定了將安全計算機系統(tǒng)運送到現(xiàn)場安裝所必須遵守的程序。在網(wǎng)絡的具體設計過程中，應根據(jù)網(wǎng)絡總體規(guī)劃中提出的各項技術規(guī)范、設備類型、性能要求以及經(jīng)費等，綜合考慮來確定一個比較合理、性能較高的網(wǎng)絡安全級別，從而實現(xiàn)網(wǎng)絡的安全性和可靠性。4網(wǎng)絡安全應具備的功能為了能更好地適應信息技術的發(fā)展，計算機網(wǎng)絡應用系統(tǒng)必須具備以下功能：（1）訪問控制：通過對特定網(wǎng)段、服務建立的訪問控制體系，將絕大多數(shù)攻

33、擊阻止在到達攻擊目標之前。（2）檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效。（3）攻擊監(jiān)控：通過對特定網(wǎng)段、服務建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取響應的行動（如斷開網(wǎng)絡連接、記錄攻擊過程、跟蹤攻擊源等）。（4）加密通訊：主動地加密通訊，可使攻擊者不能了解、修改敏感信息。（5）認證：良好的認證體系可防止攻擊者假冒合法用戶。（6）備份和恢復：良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數(shù)據(jù)和系統(tǒng)服務。（7）多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。（8）設立安全監(jiān)控中心：為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護

34、及緊急情況服務。5網(wǎng)絡系統(tǒng)安全綜合解決措施要想實現(xiàn)網(wǎng)絡安全功能，應對網(wǎng)絡系統(tǒng)進行全方位防范，從而制定出比較合理的網(wǎng)絡安全體系結構。下面就網(wǎng)絡系統(tǒng)的安全問題，提出一些防范措施。5.1物理安全物理安全可以分為兩個方面：一是人為對網(wǎng)絡的損害；二是網(wǎng)絡對使用者的危害。最常見的是施工人員由于對地下電纜不了解，從而造成電纜的破壞，這種情況可通過立標志牌加以防范；未采用結構化布線的網(wǎng)絡經(jīng)常會出現(xiàn)使用者對電纜的損壞，這就需要盡量采用結構化布線來安裝網(wǎng)絡；人為或自然災害的影響，需在規(guī)劃設計時加以考慮。網(wǎng)絡對使用者的危害主要是電纜的電擊、高頻信號的幅射等，這需要對網(wǎng)絡的絕緣、接地和屏蔽工作做好。5.2訪問控制安全

35、訪問控制識別并驗證用戶，將用戶限制在已授權的活動和資源范圍之內(nèi)。網(wǎng)絡的訪問控制安全可以從以下幾個方面考慮。（1）口令網(wǎng)絡安全系統(tǒng)的最外層防線就是網(wǎng)絡用戶的登錄，在注冊過程中，系統(tǒng)會檢查用戶的登錄名和口令的合法性，只有合法的用戶才可以進入系統(tǒng)。（2）網(wǎng)絡資源屬主、屬性和訪問權限網(wǎng)絡資源主要包括共享文件、共享打印機、網(wǎng)絡通信設備等網(wǎng)絡用戶都有可以使用的資源。資源屬主體現(xiàn)了不同用戶對資源的從屬關系，如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性，如可被誰讀、寫或執(zhí)行等。訪問權限主要體現(xiàn)在用戶對網(wǎng)絡資源的可用程度上。利用指定網(wǎng)絡資源的屬主、屬性和訪問權限可以有效地在應用級控制網(wǎng)絡系統(tǒng)的

36、安全性。（3）網(wǎng)絡安全監(jiān)視網(wǎng)絡監(jiān)視通稱為“網(wǎng)管”，它的作用主要是對整個網(wǎng)絡的運行進行動態(tài)地監(jiān)視并及時處理各種事件。通過網(wǎng)絡監(jiān)視可以簡單明了地找出并解決網(wǎng)絡上的安全問題，如定位網(wǎng)絡故障點、捉住IP盜用者、控制網(wǎng)絡訪問范圍等。（4）審計和跟蹤網(wǎng)絡的審計和跟蹤包括對網(wǎng)絡資源的使用、網(wǎng)絡故障、系統(tǒng)記帳等方面的記錄和分析。一般由兩部分組成：一是記錄事件，即將各類事件統(tǒng)統(tǒng)記錄到文件中；二是對記錄進行分析和統(tǒng)計，從而找出問題所在。5.3數(shù)據(jù)傳輸安全傳輸安全要求保護網(wǎng)絡上被傳輸?shù)男畔ⅲ苑乐贡粍拥睾椭鲃拥厍址?。對?shù)據(jù)傳輸安全可以采取如下措施：（1）加密與數(shù)字簽名任何良好的安全系統(tǒng)必須包括加密！這已成為既定的事

37、實。網(wǎng)絡上的加密可以分為三層：第一層為數(shù)據(jù)鏈路層加密，即將數(shù)據(jù)在線路傳輸前后分別對其進行加密和解密，這樣可以減少在傳輸線路上被竊取的危險；第二層是傳輸層的加密，使數(shù)據(jù)在網(wǎng)絡傳輸期間保持加密狀態(tài)；第三層是應用層上的加密，讓網(wǎng)絡應用程序對數(shù)據(jù)進行加密和解密。當然可以對這三層進行綜合加密，以增強信息的安全性和可靠性。數(shù)字簽名是數(shù)據(jù)的接收者用來證實數(shù)據(jù)的發(fā)送者確實無誤的一種方法，它主要通過加密算法和證實協(xié)議而實現(xiàn)。（2）防火墻防火墻（Firewall）是Internet上廣泛應用的一種安全措施，它可以設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列部件的組合。它能通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地檢測網(wǎng)絡內(nèi)外信息、結構和運行狀況，以此來實現(xiàn)網(wǎng)絡的安全保護。（3）UserName/Password認證該種認證方式是最常用的一種認證方式，用于操作系統(tǒng)登錄、telnet（遠程登錄）、rlogin（遠程登錄）等，但此種認證方式過程不加密，即password容易被監(jiān)聽和解密。（4）使用摘要算法的認證Radius（遠程撥號認證協(xié)議）、OSPF（開放路由協(xié)議）、SNMPSecurityProtocol等均使用共享的