如何讓網(wǎng)絡(luò)增值網(wǎng)絡(luò)白皮書之網(wǎng)絡(luò)安全篇

如何讓網(wǎng)絡(luò)增值網(wǎng)絡(luò)白皮書之網(wǎng)絡(luò)安全篇作者：朱玲湖北以太科技有限公旬二OO三年五月十五日目錄TOC\o"1-5"\h\z\o"CurrentDocument"一、網(wǎng)絡(luò)安全現(xiàn)狀簡析 5\o"CurrentDocument"（―）病毒問題 6（二）非法訪問和破壞（“黑客”攻擊） 6（三）管理的欠缺 7（四）網(wǎng)絡(luò)的缺陷及軟件的漏洞或“后門” 7\o"CurrentDocument"二、計算機網(wǎng)絡(luò)的安全策略 8（-）物理安全策略 8（二）訪問控制策略 8（1）入網(wǎng)訪問控制 8\o"CurrentDocument"（2）網(wǎng)絡(luò)的權(quán)限控制 9\o"CurrentDocument"（3）目錄級安全控制 10\o"CurrentDocument"屬性安全控制 10\o"CurrentDocument"（5）網(wǎng)絡(luò)服務(wù)器安全控制 10\o"CurrentDocument"（6）網(wǎng)絡(luò)監(jiān)測和鎖定控制 11\o"CurrentDocument"（7）網(wǎng)絡(luò)端口和節(jié)點的安全控制 11（8）防火墻控制 11\o"CurrentDocument"（三）信息加密策略 12\o"CurrentDocument"（四）網(wǎng)絡(luò)安全管理策略 13\o"CurrentDocument"三、網(wǎng)絡(luò)不安全的因數(shù)，及其基本的防范 14\o"CurrentDocument"（一）攻擊與攻擊的信號 14\o"CurrentDocument"（二）攻擊的主要手段 14\o"CurrentDocument"1、收集信息攻擊： 15sniffer 15Trojan 16denialofservice： 17spoofingattack（電子欺騙）： 18\o"CurrentDocument"2,入侵層次分析： 19（1）敏感層的劃分 19\o"CurrentDocument"（三）關(guān)于口令安全性 21\o"CurrentDocument"（四）、網(wǎng)絡(luò)安全管理員的素質(zhì)要求 22\o"CurrentDocument"四、現(xiàn)行主要網(wǎng)絡(luò)安全技術(shù)介紹 24（一）殺毒軟件 24\o"CurrentDocument"（二）防火墻 25（三）加密技術(shù) 261、單匙技術(shù) 26\o"CurrentDocument"（四）其他網(wǎng)絡(luò)安全技術(shù) 27\o"CurrentDocument"2、存取控制 27\o"CurrentDocument"3、數(shù)據(jù)完整性 28\o"CurrentDocument"4、安全協(xié)議 28\o"CurrentDocument"五、選擇適合您的網(wǎng)絡(luò)安全產(chǎn)品 29\o"CurrentDocument"1、殺毒軟件 30(1)賽門鐵克公司諾頓(Norton)防病毒企業(yè)版7.5 30(2)NAI公司反病毒軟件 31\o"CurrentDocument"2、防火墻 31(1)網(wǎng)屏(NetScreen)公司NetScreenTOOO 32(2)東大阿爾派防火墻產(chǎn)品一NetEye防火墻 32(3)中軟HuaTech-2000型防火墻 33\o"CurrentDocument"3、入侵、密碼及認證產(chǎn)品 33(1)安氏公司(iS-One)入侵檢測產(chǎn)品 33(2)東大阿爾派入侵監(jiān)測系統(tǒng)和認證中心產(chǎn)品 34\o"CurrentDocument"六、網(wǎng)絡(luò)安全解決方案實例參考 35\o"CurrentDocument"(一)南航應(yīng)用賽門鐵克防病毒產(chǎn)品 35\o"CurrentDocument"1、不受侵害 36\o"CurrentDocument"2、全面防殺 36\o"CurrentDocument"3、集中管理 37\o"CurrentDocument"4、自動更新 37\o"CurrentDocument"5、安裝簡單 38\o"CurrentDocument"(二)銀行安全保護傘 38\o"CurrentDocument"1、PNC銀行的經(jīng)驗 41\o"CurrentDocument"2、面臨的挑戰(zhàn) 41\o"CurrentDocument"3、解決的辦法 42\o"CurrentDocument"4、產(chǎn)生的效益 42網(wǎng)絡(luò)安全白皮書如今，越來越多的計算機聯(lián)入了Internet。作為當(dāng)今規(guī)模最大的互聯(lián)網(wǎng)絡(luò),Internet遍及180多個國家，容納了60多萬個網(wǎng)絡(luò)，接入了2000多萬臺計算機，為1億多用戶提供多樣化的網(wǎng)絡(luò)與信息服務(wù)。隨著互聯(lián)網(wǎng)的日益普及，人們對互聯(lián)網(wǎng)的依賴也越來越強，網(wǎng)絡(luò)已經(jīng)成為人們生活中不可缺少的一個部分。但是，Internet是一個面向大眾的開放系統(tǒng)，對于信息的保密和系統(tǒng)的安全考慮得并不完備，加上計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)上的攻擊與破壞事件不勝枚舉。計算機黑客犯罪已經(jīng)滲入到政府機關(guān)、軍事部門、商業(yè)、企業(yè)等單位，如果不加以保護的話，輕則干擾人們的日常生活,重則造成巨大的經(jīng)濟損失，甚至威脅到國家的安全。所以系統(tǒng)的網(wǎng)絡(luò)安全問題已引起許多國家、尤其是發(fā)達國家的高度重視，不惜投入大量的人力、物力和財力來提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性。對于網(wǎng)絡(luò)安全，應(yīng)該說眾多用戶還存在著許多誤區(qū)。本文將對網(wǎng)絡(luò)安全的現(xiàn)狀、原因、解決方法、產(chǎn)品及相應(yīng)的解決方案進行詳盡的介紹。本文主要包括的部分有：網(wǎng)絡(luò)安全現(xiàn)狀簡析一對許多網(wǎng)絡(luò)用戶而言,都知道自己面臨著一定的威脅。但對這種威脅來自哪里、究竟有什么后果，并不十分清楚。就讓我們先來了解一下您正在面臨的威脅。計算機網(wǎng)絡(luò)的安全策略一從科學(xué)的角度讓我們的網(wǎng)絡(luò)更安全,這個部分從物理安全策略、訪問控制策略、信息加密策略、網(wǎng)絡(luò)安全管理策略四個方面介紹。網(wǎng)絡(luò)不安全的因數(shù)，及其基本的防范一只有了解網(wǎng)絡(luò)的不安全因數(shù),才能做到更好的防范，只有了解如何攻擊，才能最有效的防止攻擊。主流網(wǎng)絡(luò)安全防衛(wèi)技術(shù)一在網(wǎng)絡(luò)安全領(lǐng)域,攻擊隨時可能發(fā)生，系統(tǒng)隨時可能崩潰，因此必須一年365天、-天24小時地監(jiān)視網(wǎng)絡(luò)系統(tǒng)的狀態(tài)。這些工作僅靠人工完成是不可能的。所以，必須借助先進的技術(shù)和工具來幫助企業(yè)完成如此繁重的勞動，以保證計算機網(wǎng)絡(luò)的安全。計算機網(wǎng)絡(luò)的安全性主要包括網(wǎng)絡(luò)服務(wù)的可用性(Availability)、網(wǎng)絡(luò)信息的保密性(Confidentiality)和網(wǎng)絡(luò)信息的完整性(Intergrity)。我們將把與之相關(guān)的兒個重要網(wǎng)絡(luò)安全技術(shù)做一下介紹。網(wǎng)絡(luò)安全典型產(chǎn)品介紹一目前,安全產(chǎn)品主要是以安全軟件為主，其中包括殺毒軟件、防火墻、安全管理、認證授權(quán)、加密等軟件產(chǎn)品，其中以殺毒軟件和網(wǎng)絡(luò)安全軟件中的防火墻應(yīng)用得最為廣泛；硬件產(chǎn)品包括安全服務(wù)器、硬件加密機、物理隔離卡及基于硬件的防火墻等。網(wǎng)絡(luò)安全解決方案實例參考-前面介紹了安全產(chǎn)品的技術(shù)、產(chǎn)品，那么在現(xiàn)實環(huán)境中，用戶是如何應(yīng)用這些產(chǎn)品，對自己的系統(tǒng)、數(shù)據(jù)進行全方位的保護呢？本文將為您介紹三家用戶的安全產(chǎn)品使用狀況。一、網(wǎng)絡(luò)安全現(xiàn)狀簡析對許多網(wǎng)絡(luò)用戶而言，他們知道他們面臨著?定的威脅。但這種威脅來自哪里、究竟有什么后果，他們并不十分清楚。就讓我們先來了解一下您正在面臨的威脅。一般來說,對普通的網(wǎng)絡(luò)用戶來說，面臨的安全性威脅主要有以下幾個方面:（一）病毒問題這是廣大用戶最了解的一個安全問題。計算機病毒程序很容易做出，有著巨大的破壞性，其危害已被人們所認識。從前的單機病毒就已經(jīng)讓人們談毒色變了，今通過網(wǎng)絡(luò)傳播的病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機病毒所不能比擬的。目前全球已發(fā)現(xiàn)5萬余種病毒，并且還在以每天10余種的速度增長。有資料顯示，病毒威脅所造成的損失，占網(wǎng)絡(luò)經(jīng)濟損失的76%,僅“愛蟲”發(fā)作在全球所造成的損失，就達96億美元。一般談到病毒問題還包括特洛伊木馬（TrojanHorse）和蠕蟲（Worms）問題。他們雖然不是嚴格的病毒，但不僅和病毒的危害性相當(dāng)，而且一般也會伴隨著病毒一起向用戶發(fā)起攻擊。特洛伊程序一般是由編程人員編制，它提供了用戶所不希望的功能，這些額外的功能往往把預(yù)謀的功能隱藏在公開的功能中，可掩蓋其真實企圖。蠕蟲則是一個或一組程序，它可以從一臺機器向另一臺機器傳播;與病毒不同的是，它不需要修改宿主程序就能傳播。（二）非法訪問和破壞（“黑客”攻擊）黑客攻擊已有十幾年的歷史。黑客對于大家來說已經(jīng)不再是一個高深莫測的人物，黑客技術(shù)逐漸被越來越多的人掌握和發(fā)展，目前，世界上有20多萬個黑客網(wǎng)站，這些站點都介紹一些攻擊方法和攻擊軟件的使用以及系統(tǒng)的一些漏洞，因而系統(tǒng)、站點遭受攻擊的可能性就變大了。尤其是現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，使得黑客攻擊的隱蔽性好，“殺傷力”強，是網(wǎng)絡(luò)安全的主要威脅。黑客活動幾乎覆蓋了所有的操作系統(tǒng)，包括UNIX,WindowsNT、VMS以及MVS等。黑客攻擊比病毒破壞更具目的性，因而也更具危害性。Yahoo!、Amazon等國際著名網(wǎng)站被黑事件早已不是新聞。據(jù)統(tǒng)計，全球平均每20秒就有一個網(wǎng)站遭到黑客攻擊。（三）管理的欠缺網(wǎng)絡(luò)系統(tǒng)的嚴格管理是企業(yè)、機構(gòu)及用戶免受攻擊的重要措施。事實上，很多企業(yè)、機構(gòu)及用戶的網(wǎng)站或系統(tǒng)都疏于這方面的管理。據(jù)IT界企業(yè)團體ITAA的調(diào)查顯示，美國90%的IT企業(yè)對黑客攻擊準備不足。目前，美國75%-85%的網(wǎng)站都抵擋不住黑客的攻擊，約有75%的企業(yè)網(wǎng)上信息失竊，其中25%的企業(yè)損失在25萬美元以上。此外，管理的缺陷還可能出現(xiàn)系統(tǒng)內(nèi)部人員泄露機密或外部人員通過非法手段截獲而導(dǎo)致機密信息的泄漏，從而為一些不法分子制造了可乘之機。（四）網(wǎng)絡(luò)的缺陷及軟件的漏洞或“后門”因特網(wǎng)的共享性和開放性使網(wǎng)上信息安全存在先天不足，因為其賴以生存的TCP/IP協(xié)議，缺乏相應(yīng)的安全機制，而且因特網(wǎng)最初的設(shè)計考慮是該網(wǎng)不會因局部故障而影響信息的傳輸，基本沒有考慮安全問題，因此它在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在著不適應(yīng)性。此外，隨著軟件系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門”也不可避免的存在，比如我們常用的操作系統(tǒng),無論是Windows還是UNIX幾乎都存在或多或少的安全漏洞，眾多的各類服務(wù)器、瀏覽器、一些桌面軟件等等都被發(fā)現(xiàn)過存在安全隱患?？梢哉f任何一個軟件系統(tǒng)都可能會因為程序員的一個疏忽、設(shè)計中的個缺陷等原因而存在漏洞，這也是網(wǎng)絡(luò)安全的主要威脅之?二基于這些現(xiàn)實，上網(wǎng)企業(yè)不得不考慮一個問題：網(wǎng)絡(luò)安全嗎？怎么解決網(wǎng)絡(luò)安全問題？據(jù)去年CCID對500家企業(yè)網(wǎng)絡(luò)的調(diào)查表明，已采取相應(yīng)安全解決方案的企業(yè)有11.21%,計劃近期加強網(wǎng)絡(luò)安全的企業(yè)有46.67%,想進?步了解的用戶有32.42%,而近期不考慮的用戶僅有9.7機應(yīng)該采取哪些網(wǎng)絡(luò)安全技術(shù)呢？、計算機網(wǎng)絡(luò)的安全策略(-)物理安全策略物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機系統(tǒng)有??個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。抑制和防止電磁泄漏(即TEMPEST技術(shù))是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導(dǎo)發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合。另??類是對輻射的防護，這類防護措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。(-)訪問控制策略訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。下面我們分述各種訪問控制策略。(1)入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進入該網(wǎng)絡(luò)。對網(wǎng)絡(luò)用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務(wù)器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續(xù)驗證用戶輸入的口令，否則，用戶將被拒之網(wǎng)絡(luò)之外。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上,口令長度應(yīng)不少于6個字符，口令字符最好是數(shù)字、字母和其他字符的混合，用戶口令必須經(jīng)過加密，加密的方法很多，其中最常見的方法有：基于單向函數(shù)的口令加密，基于測試模式的口令加密，基于公鑰加密方案的口令加密，基于平方剩余的口令加密，基于多項式共享的口令加密，基于數(shù)字簽名方案的口令加密等。經(jīng)過上述方法加密的口令，即使是系統(tǒng)管理員也難以得到它。用戶還可采用一次性用戶口令，也可用便攜式驗證器（如智能卡）來驗證用戶的身份。網(wǎng)絡(luò)管理員應(yīng)該可以控制和限制普通用戶的帳號使用、訪問網(wǎng)絡(luò)的時間、方式。用戶名或用戶帳號是所有計算機系統(tǒng)中最基本的安全形式。用戶帳號應(yīng)只有系統(tǒng)管理員才能建立。用戶口令應(yīng)是每用戶訪問網(wǎng)絡(luò)所必須提交的“證件”、用戶可以修改自己的口令，但系統(tǒng)管理員應(yīng)該可以控制口令的以下兒個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯?性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。用戶名和口令驗證有效之后，再進一步履行用戶帳號的缺省限制檢查。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。當(dāng)用戶對交費網(wǎng)絡(luò)的訪問“資費”用盡時，網(wǎng)絡(luò)還應(yīng)能對用戶的帳號加以限制，用戶此時應(yīng)無法進入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應(yīng)對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應(yīng)給出報警信息。（2）網(wǎng)絡(luò)的權(quán)限控制網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧@些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽（IRM）可作為其兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限。我們可以根據(jù)訪問權(quán)限將用戶分為以下兒類：1）特殊用戶（即系統(tǒng)管理員）；2）一般用戶，系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限；3）審計用戶，負責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個訪問控制表來描述。（3）目錄級安全控制網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一?般有八種：系統(tǒng)管理員權(quán)限（Supervisor）、讀權(quán)限（Read）、寫權(quán)限（Write）、創(chuàng)建權(quán)限（Create）＞刪除權(quán)限（Erase）、修改權(quán)限（Modify）、文件查找權(quán)限（FileScan）、存取控制權(quán)限（AccessControl）?用戶對文件或目標的有效權(quán)限取決于以下二個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對服務(wù)器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務(wù)器資源的訪問，從而加強了網(wǎng)絡(luò)和服務(wù)器的安全性。（4）屬性安全控制當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)--張訪問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能控制以下幾個方面的權(quán)限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改、顯示等。（5）網(wǎng)絡(luò)服務(wù)器安全控制網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。(6)網(wǎng)絡(luò)監(jiān)測和鎖定控制網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實施監(jiān)控，服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問，對非法的網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以圖形或文字或聲音等形式報警，以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖進入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會自動記錄企圖嘗試進入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達到設(shè)定數(shù)值，那么該帳戶將被自動鎖定。(7)網(wǎng)絡(luò)端口和節(jié)點的安全控制網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護，并以加密的形式來識別節(jié)點的身份。自動回呼設(shè)備用于防止假冒合法用戶，靜默調(diào)制解調(diào)器用以防范黑客的自動撥號程序?qū)τ嬎銠C進行攻擊。網(wǎng)絡(luò)還常對服務(wù)器端和用戶端采取控制，用戶必須攜帶證實身份的驗證器(如智能卡、磁卡、安全密碼發(fā)生器)。在對用戶的身份進行驗證之后，才允許用戶進入用戶端。然后，用戶端和服務(wù)器端再進行相互驗證。(8)防火墻控制防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。目前的防火墻主要有以下三種類型：1)包過濾防火墻：包過濾防火墻設(shè)置在網(wǎng)絡(luò)層，可以在路由器上實現(xiàn)包過濾。首先應(yīng)建立一定數(shù)量的信息過濾表，信息過濾表是以其收到的數(shù)據(jù)包頭信息為基礎(chǔ)而建成的。信息包頭含有數(shù)據(jù)包源IP地址、目的IP地址、傳輸協(xié)議類型(TCP、UDP、ICMP等)、協(xié)議源端口號、協(xié)議目的端口號、連接請求方向、ICMP報文類型等。當(dāng)一個數(shù)據(jù)包滿足過濾表中的規(guī)則時，則允許數(shù)據(jù)包通過，否則禁止通過。這種防火墻可以用于禁止外部不合法用戶對內(nèi)部的訪問，也可以用來禁止訪問某些服務(wù)類型。但包過濾技術(shù)不能識別有危險的信息包，無法實施對應(yīng)用級協(xié)議的處理，也無法處理UDP、RPC或動態(tài)的協(xié)議。2)代理防火墻：代理防火墻又稱應(yīng)用層網(wǎng)關(guān)級防火墻，它由代理服務(wù)器和過濾路由器組成，是目前較流行的一種防火墻。它將過濾路由器和軟件代理技術(shù)結(jié)合在一起。過濾路由器負責(zé)網(wǎng)絡(luò)互連，并對數(shù)據(jù)進行嚴格選擇，然后將篩選過的數(shù)據(jù)傳送給代理服務(wù)器。代理服務(wù)器起到外部網(wǎng)絡(luò)申請訪問內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用，其功能類似于一個數(shù)據(jù)轉(zhuǎn)發(fā)器，它主要控制哪些用戶能訪問哪些服務(wù)類型。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請某種網(wǎng)絡(luò)服務(wù)時，代理服務(wù)器接受申請，然后它根據(jù)其服務(wù)類型、服務(wù)內(nèi)容、被服務(wù)的對象、服務(wù)者申請的時間、申請者的域名范圍等來決定是否接受此項服務(wù)，如果接受，它就向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)這項請求。代理防火墻無法快速支持一些新出現(xiàn)的業(yè)務(wù)（如多媒體）?，F(xiàn)要較為流行的代理服務(wù)器軟件是WinGate和ProxyServer03）雙穴主機防火墻：該防火墻是用主機來執(zhí)行安全控制功能。?臺雙穴主機配有多個網(wǎng)卡，分別連接不同的網(wǎng)絡(luò)。雙穴主機從一個網(wǎng)絡(luò)收集數(shù)據(jù)，并且有選擇地把它發(fā)送到另一個網(wǎng)絡(luò)上。網(wǎng)絡(luò)服務(wù)由雙穴主機上的服務(wù)代理來提供。內(nèi)部網(wǎng)和外部網(wǎng)的用戶可通過雙穴主機的共享數(shù)據(jù)區(qū)傳遞數(shù)據(jù)，從而保護了內(nèi)部網(wǎng)絡(luò)不被非法訪問。（三）信息加密策略信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。信息加密過程是由形形色色的加密算法來具體實施，它以很小的代價提供很大的安全保護。多數(shù)情況下，信息加密是保證信息機密性的唯一方法。據(jù)不完全統(tǒng)計，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達數(shù)百種。如果按照收發(fā)雙方密鑰是否相同來分類，可將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。在常規(guī)密碼中，收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。比較著名的常規(guī)密碼算法有：美國的DES及其各種變形，比如TripleDES、GDES、NewDES和DES的前身Lucifer;歐洲的IDEA；日本的FEAL一N、LOKI-91,Skipjack.RC4、RC5以及以代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼等。在眾多的常規(guī)密碼中影響最大的是DES密碼。常規(guī)密碼的優(yōu)點是有很強的保密強度，且經(jīng)受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。在公鑰密碼中，收信方和發(fā)信方使用的密鑰互不相同，而且兒乎不可能從加密密鑰推導(dǎo)出解密密鑰。比較著名的公鑰密碼算法有：RSA、背包密碼、McEliece密碼、Diffe-Hellman>Rabin、Ong-Fiat-Shamir^零知識證明的算法、橢園曲線、EIGamal算法等等。最有影響的公鑰密碼算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。公鑰密碼的優(yōu)點是可以適應(yīng)網(wǎng)絡(luò)的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實現(xiàn)數(shù)字簽名和驗證。但其算法復(fù)雜。加密數(shù)據(jù)的速率較低。盡管如此，隨著現(xiàn)代電子技術(shù)和密碼技術(shù)的發(fā)展，公鑰密碼算法將是一-種很有前途的網(wǎng)絡(luò)安全加密體制。當(dāng)然在實際應(yīng)用中人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用，比如：利用DES或者IDEA來加密信息，而采用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密算法分為序列密碼和分組密碼。前者每次只加密一個比特而后者則先將信息序列分組，每次處理一個組。密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一。（四）網(wǎng)絡(luò)安全管理策略在網(wǎng)絡(luò)安全中，除了采用上述技術(shù)措施之外，加強網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)的安全、可靠地運行，將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等。三、網(wǎng)絡(luò)不安全的因數(shù)，及其基本的防范（一）攻擊與攻擊的信號什么叫攻擊？攻擊的法律定義是指：攻擊僅僅發(fā)生在入侵行為完全完成且入侵者已在目標網(wǎng)絡(luò)內(nèi)。但是更積極的觀點是（尤其是對網(wǎng)絡(luò)安全管理員來說）：可能使一個網(wǎng)絡(luò)受到破壞的所有行為都應(yīng)稱為攻擊。即從一個入侵者開始在目標機上工作的那個時刻起，攻擊就開始了。通常，在正式攻擊之前，攻擊者先進行試探性攻擊，目標是獲取系統(tǒng)有用的信息，此時包括ping掃描，端口掃描，帳戶掃描,dns轉(zhuǎn)換，以及惡性的ipsniffer（通過技術(shù)手段非法獲取ippacket,獲得系統(tǒng)的重要信息來實現(xiàn)對系統(tǒng)的攻擊,后面還會詳細講到），特洛依木馬程序等。這時的被攻擊狀態(tài)中的網(wǎng)絡(luò)經(jīng)常會表現(xiàn)出一些信號，特征，例如：日志中有人企圖利用老的sendmail就是比較明顯的攻擊的信息，即有人在端口25上發(fā)出了兩三個命令，這些命令無疑是企圖欺騙服務(wù)器將/etc/passwd文件的拷貝以郵件的形式發(fā)送給入侵者，另外showmount命令有可能是有人在收集計算機的信息。大量的掃描應(yīng)立即使root意識到安全攻擊的出現(xiàn)。某主機的一個服務(wù)端口上出現(xiàn)擁塞現(xiàn)象，此時應(yīng)該檢查綁定在該端口上的服務(wù)類型。淹沒式和denialofservice式的攻擊通常是欺騙攻擊的先兆（或是一部分）。.箋箋良好周密的日志記錄以及細致的分析經(jīng)常是預(yù)測攻擊，定位攻擊，以及遭受攻擊后追查攻擊者的有力武器。察覺到網(wǎng)絡(luò)處于被攻擊狀態(tài)后，網(wǎng)絡(luò)安全管理員應(yīng)該立刻按照操作規(guī)程進行記錄，向主管領(lǐng)導(dǎo)匯報，相應(yīng)的安全措施等處理。（二）攻擊的主要手段對計算機網(wǎng)絡(luò)進行攻擊的手段可以分為兒個主要種類，它們的危害程度和檢測防御辦法也各不相同:1、收集信息攻擊：經(jīng)常使用的工具包括：NSS,Strobe,Netscan,SATAN(SecurityAdministrator,sToolforAuditingNetwork),Jakal,IdentTCPscan,FTPScan等以及各種sniffer。廣義上說，特洛依木馬程序也是收集信息攻擊的重要手段。收集信息攻擊有時是其它攻擊手段的前奏。對于簡單的端口掃描，敏銳的安全管理員往往可以從異常的日志記錄中發(fā)現(xiàn)攻擊者的企圖。但是對于隱秘的sniffer和trojan程序來說，檢測就是件更高級和困難的任務(wù)了。sniffer它們可以截獲口令等非常秘密的或?qū)Ｓ玫男畔ⅲ踔吝€可以用來攻擊相鄰的網(wǎng)絡(luò)，因此，網(wǎng)絡(luò)中sniffer的存在，會帶來很大的威脅。這里不包括安全管理員安裝用來監(jiān)視入侵者的sniffer,它們本來是設(shè)計用來診斷網(wǎng)絡(luò)的連接情況的。它可以是帶有很強debug功能的普通的網(wǎng)絡(luò)分析器，也可以是軟件和硬件的聯(lián)合形式。現(xiàn)在已有工作于各種平臺上的sniffer,例如Gobbler(MS-DOS)ETHLOAD(MS-DOS),Netman(Unix),Esniff,c(SunOS),Sunsniff(SunOS),Linux-sniffer.c(Linux)NitWit.c(SunOS),etc.檢測sniffer的存在是個非常困難的任務(wù)，因為sniffer本身完全只是被動地接收數(shù)據(jù)，而不發(fā)送什么。并且上面所列的sniffer程序都可以在internet上下載到，其中有一些是以源碼形式發(fā)布的(帶有.c擴展名的)。一般來講，真正需要保密的只是一些關(guān)鍵數(shù)據(jù)，例如用戶名和口令等。使用ip包一級的加密技術(shù)，可以使sniffer即使得到數(shù)據(jù)包，也很難得到真正的數(shù)據(jù)本身。這樣的工具包括secureshell(ssh),以及F-SSH,尤其是后者針對一般利用tcp/ip進行通信的公共傳輸提供了非常強有力的，多級別的加密算法。ssh有免費版本和商業(yè)版本，可以工作在unix上，也可以工作在windows3.1,windows95>和windowsnto另外，采用網(wǎng)絡(luò)分段技術(shù)，減少信任關(guān)系等手段可以將sniffer的危害控制在較小范圍以內(nèi)，也為發(fā)現(xiàn)sniffer的主人提供了方便.Trojan這是一種技術(shù)性攻擊方式.RFC1244中給出了trojan程序的經(jīng)典定義：特洛依木馬程序是這樣--種程序，它提供了一些有用的，或僅僅是有意思的功能。但是通常要做一些用戶不希望的事，諸如在你不了解的情況下拷貝文件或竊取你的密碼，或直接將重要資料轉(zhuǎn)送出去，或破壞系統(tǒng)等等.特洛依程序帶來一種很高級別的危險，因為它們很難被發(fā)現(xiàn)，在許多情況下，特洛依程序是在二進制代碼中發(fā)現(xiàn)的，它們大多數(shù)無法直接閱讀，并且特洛依程序可以作用在許許多多系統(tǒng)上,它的散播和病毒的散播非常相似。從internet上下載的軟件,尤其是免費軟件和共享軟件,從匿名服務(wù)器或者usernet新聞組中獲得的程序等等都是十分可疑的.所以作為關(guān)鍵網(wǎng)絡(luò)中的用戶有義務(wù)明白自己的責(zé)任，自覺作到不輕易安裝使用來路不清楚的軟件.檢測一個特洛依程序，需要一些比較深入的有關(guān)操作系統(tǒng)的知識?？梢酝ㄟ^檢查文件的更改時間，文件長度,校驗和等來檢查文件是否進行過非預(yù)期的操作。另外，文件加密也是有效的檢查特洛依程序的方法?？梢允褂玫墓ぞ甙ǎ簍ripwire是一個廣泛應(yīng)用的系統(tǒng)完整性工具.系統(tǒng)通過讀取配置文件得到環(huán)境變量.在這個文件中包含著所有的文件標志(Remarks),使用者可以詳盡地規(guī)定應(yīng)該對哪些文件作出哪些改變作出報告等.它們的數(shù)字簽名保存在數(shù)據(jù)庫中.數(shù)字簽名可以使用的hash函數(shù)包括:MD5,MD4,CRC32,MD2,Sncfm,SHA等.?TAMU程序包可以檢查許多項目,包括由CERT通知中定義的項目，以及最近的入侵事件中發(fā)現(xiàn)的項目，所有被改動的系統(tǒng)二進制流,以及要求保密的那些關(guān)鍵路徑.HobgoblinATP(TheAnti-TamperingProgram)后面兩種工具的使用沒有前面兩種那么普遍，但是它們都各有特點。denialofservice：這是一類個人或多個人利用internet協(xié)議組的某些方面妨礙甚至關(guān)閉其它用戶對系統(tǒng)和信息的合法訪問的攻擊。其特點是以潮水般的連接申請使系統(tǒng)在應(yīng)接不暇的狀態(tài)中崩潰。對于大型網(wǎng)絡(luò)而言，此類攻擊只是有限的影響，但是卻可能導(dǎo)致較小網(wǎng)絡(luò)退出服務(wù)，遭到重創(chuàng)。這是最不容易捕獲的…種攻擊，因為不留任何痕跡，安全管理人員不易確定攻擊來源。由于這種攻擊可以使整個系統(tǒng)癱瘓，并且容易實施，所以非常危險。但是從防守的角度來講，這種攻擊的防守也比較容易。攻擊者通過此類攻擊不會破壞系統(tǒng)數(shù)據(jù)或獲得未授權(quán)的權(quán)限，只是搗亂和令人心煩而已。例如使網(wǎng)絡(luò)中某個用戶的郵箱超出容限而不能正常使用等。典型的攻擊包括如E-mail炸彈，郵件列表連接等。①Email炸彈它是一種簡單有效的侵擾工具。它反復(fù)傳給目標接收者相同的信息，用這些垃圾擁塞目標的個人郵箱?？梢允褂玫墓ぞ叻浅６?，例如bomb02.zip(mailbomber),運行在windows平臺上，使用非常簡單.unix平臺上發(fā)起emailbomb攻擊更為簡單,只需簡單幾行shell程序即可讓目標郵箱內(nèi)充滿垃圾。它的防御也比較簡單：一般郵件收發(fā)程序都提供過濾功能，發(fā)現(xiàn)此類攻擊后，將源目標地址放入拒絕接收列表中即可。②郵件列表連接它產(chǎn)生的效果同郵件炸彈基本相同。將目標地址同時注冊到兒十個(甚至成百上千)個郵件列表中，由于一般每個郵件列表每天會產(chǎn)生許多郵件，可以想象總體效果是什么樣子?？梢允止ね瓿晒?，也可以通過建立郵件列表數(shù)據(jù)庫而自動生成。對于郵件列表連接，尚沒有快速的解決辦法。受害者需要把包含注銷“unsubscribe”信息的郵件發(fā)往每個列表。許多程序能夠同時完成兩種攻擊，包括Upyours(Windows),KaBoom(Windows),Avalanche(Windows),Unabomber(Windows),eXtremeMail(Windows),Homicide(Windows),Bombtrack(Macintosh),FlameThrower(Macintosh),etc.③其它還有一些針對其它服務(wù)的攻擊，例如Syn-Flooder,PingofDeath（發(fā)送異常的很大的進行ping操作的packet來攻擊windowsnt）,DNSkiller（運行在linux平臺上，攻擊windowsnt平臺上的dns服務(wù)器）等。在路由的層次上，對數(shù)據(jù)流進行過濾，通過合適的配置會減少遭受此類攻擊的可能性。CiscoSystems就提供了路由級的解決方案。spoofingattack（電子欺騙）：針對http,ftp,dns等協(xié)議的攻擊，可以竊取普通用戶甚至超級用戶的權(quán)限，任意修改信息內(nèi)容，造成巨大危害。所謂ip欺騙，就是偽造他人的源ip地址。其實質(zhì)上就是讓??臺機器來扮演另一臺機器，借以達到蒙混過關(guān)的目的。下面一些服務(wù)相對來說容易招致此類攻擊：?任何使用sunrpc調(diào)用的配置；rpc指sun公司的遠程過程調(diào)用標準，是一組工作于網(wǎng)絡(luò)之上的處理系統(tǒng)調(diào)用的方法。?任何利用ip地址認證的網(wǎng)絡(luò)服務(wù),mit的xwindow系統(tǒng),各種r服務(wù)：在unix環(huán)境中，r■服務(wù)包括rlogin和rsh,其中r表示遠程。人們設(shè)計這兩個應(yīng)用程序的初衷是向用戶提供遠程訪問internet網(wǎng)絡(luò)上主機的服務(wù)。r服務(wù)極易受到ip欺騙的攻擊兒乎所有的電子欺騙都倚賴于目標網(wǎng)絡(luò)的信任關(guān)系（計算機之間的互相信任，在unix系統(tǒng)中，可以通過設(shè)置rhosts和host,equiv來設(shè)置）。入侵者可以使用掃描程序來判斷遠程機器之間的信任關(guān)系。這種技術(shù)欺騙成功的案例較少，要求入侵者具備特殊的工具和技術(shù)（并且現(xiàn)在看來對非unix系統(tǒng)不起作用）。另外spoofing的形式還有dnsspoofing等。解決的途徑是慎重設(shè)置處理網(wǎng)絡(luò)中的主機信任關(guān)系，尤其是不同網(wǎng)絡(luò)之間主機的信任關(guān)系。如只存在局域網(wǎng)內(nèi)的信任關(guān)系，可以設(shè)置路由器使之過濾掉外部網(wǎng)絡(luò)中自稱源地址為內(nèi)部網(wǎng)絡(luò)地址的ip包，來抵御ip欺騙。下面一些公司的產(chǎn)品提供了這種功能：,CiscoSystem?公司的安全軟件包可以測試網(wǎng)絡(luò)在ip欺騙上的漏洞。國際黑客已經(jīng)進入有組織有計劃地進行網(wǎng)絡(luò)攻擊階段，美國政府有意容忍黑客組織的活動，目的是使黑客的攻擊置于--定的控制之下，并且通過這一渠道獲得防范攻擊的實戰(zhàn)經(jīng)驗。國際黑客組織已經(jīng)發(fā)展出不少逃避檢測的技巧.使得攻擊與安全檢測防御的任務(wù)更加艱巨.2、入侵層次分析：(1)敏感層的劃分使用敏感層的概念來劃分標志攻擊技術(shù)所引起的危險程度：①郵件炸彈攻擊(emailbomb)(layer1)②簡單服務(wù)拒絕攻擊(denialofservice)(layerl+)③本地用戶獲得非授權(quán)讀訪問(layer2)④本地用戶獲得他們非授權(quán)的文件寫權(quán)限(layer3)⑤遠程用戶獲得非授權(quán)的帳號(layer3+)⑥遠程用戶獲得了特權(quán)文件的讀權(quán)限(layer4)⑦遠程用戶獲得了特權(quán)文件的寫權(quán)限(layer5)⑧遠程用戶擁有了根(root)權(quán)限(黑客已攻克系統(tǒng))(layer6)以上層次劃分在所有的網(wǎng)絡(luò)中幾乎都一樣，基本上可以作為網(wǎng)絡(luò)安全工作的考核指標。“本地用戶”(localuser)是一種相對概念。它指任何能自由登錄到網(wǎng)絡(luò)上的任一臺主機上，并且在網(wǎng)絡(luò)上的某臺主機上擁有一個帳戶，在硬盤上擁有一個目錄的任何一個用戶。在一定意義上，對內(nèi)部人員的防范技術(shù)難度更大。據(jù)統(tǒng)計,對信息系統(tǒng)的攻擊主要來自內(nèi)部，占85%。因為他們對網(wǎng)絡(luò)有更清楚的了解，有更多的時間和機會來測試網(wǎng)絡(luò)安全漏洞，并且容易逃避系統(tǒng)日志的監(jiān)視。(2)不同的對策根據(jù)遭受的攻擊的不同層次，應(yīng)采取不同的對策：第一層：處于第一層的攻擊基本上應(yīng)互不相干，第一層的攻擊包括服務(wù)拒絕攻擊和郵件炸彈攻擊.郵件炸彈的攻擊還包括登記列表攻擊(同時將被攻擊目標登錄到數(shù)千或更多的郵件列表中，這樣，目標有可能被巨大數(shù)量的郵件列表寄出的郵件淹沒)。對付此類攻擊的最好的方法是對源地址進行分析，把攻擊者使用的主機(網(wǎng)絡(luò)）信息加入inetd.sec的拒絕列表（denylistings）中。除了使攻擊者網(wǎng)絡(luò)中所有的主機都不能對自己的網(wǎng)絡(luò)進行訪問外，沒有其它有效的方法可以防止這種攻擊的出現(xiàn)。此類型的攻擊只會帶來相對小的危害。使人頭疼的是雖然這類攻擊的危害性不大，但是發(fā)生的頻率卻可能很高，因為僅具備有限的經(jīng)驗和專業(yè)知識就能進行此類型的攻擊。第二層和第三層：這兩層的攻擊的嚴重程度取決于那些文件的讀或?qū)憴?quán)限被非法獲得。對于isp來說，最安全的辦法是將所有的shell帳戶都集中到某一臺（或幾臺）主機上，只有它們才能接受登錄，這樣可以使得管理日志，控制訪問，協(xié)議配置和相關(guān)的安全措施實施變得更加簡單。另外，還應(yīng)該把存貯用戶編寫的cgi程序的機器和系統(tǒng)中的其它機器相隔離。招致攻擊的原因有可能是部分配置錯誤或者是在軟件內(nèi)固有的漏洞。對于前者，管理員應(yīng)該注意經(jīng)常使用安全工具查找一般的配置錯誤，例如satan。后者的解決需要安全管理員花費大量的時間去跟蹤了解最新的軟件安全漏洞報告，下載補丁或聯(lián)系供貨商。實際上，研究安全是一個永不終結(jié)的學(xué)習(xí)過程。安全管理員可以訂閱一些安全郵件列表，并學(xué)會使用一些腳本程序（如perl,等）自動搜索處理郵件，找到自己需要的最新信息。發(fā)現(xiàn)發(fā)起攻擊的用戶后，應(yīng)該立即停止其訪問權(quán)限，凍結(jié)其帳號。第四層：該層攻擊涉及到遠程用戶如何獲取訪問內(nèi)部文件的權(quán)利。其起因大多是服務(wù)器的配置不當(dāng)，cgi程序的漏洞和溢出問題。第五層和第六層：只有利用那些不該出現(xiàn)卻出現(xiàn)的漏洞，才可能出現(xiàn)這種致命的攻擊。出現(xiàn)第三，四，五層的攻擊表明網(wǎng)絡(luò)已經(jīng)處于不安全狀態(tài)之中，安全管理員應(yīng)該立即采取有效措施，保護重要數(shù)據(jù)，進行日志記錄和匯報，同時爭取能夠定位攻擊發(fā)起地點：將遭受攻擊的網(wǎng)段分離出來，將此攻擊范圍限制在小的范圍內(nèi)記錄當(dāng)前時間，備份系統(tǒng)日志，檢查記錄損失范圍和程度分析是否需要中斷網(wǎng)絡(luò)連接讓攻擊行為繼續(xù)進行如果可能，對系統(tǒng)做0級備份將入侵的詳細情況逐級向主管領(lǐng)導(dǎo)和有關(guān)主管部門匯報；如果系統(tǒng)受到嚴重破壞，影響網(wǎng)絡(luò)業(yè)務(wù)功能，立即調(diào)用備件恢復(fù)系統(tǒng)對此攻擊行為進行大量的日志工作（在另一個網(wǎng)段上）竭盡全力地判斷尋找攻擊源總之，不到萬不得已的情況下，不可使系統(tǒng)退出服務(wù)。尋找入侵者的最重要的工作就是做日志記錄和定位入侵者，而找出入侵者并通過法律手段迫使其停止攻擊是最有效的防衛(wèi)手段。（三）關(guān)于口令安全性通過口令進行身份認證是目前實現(xiàn)計算機安全的主要手段之一，一個用戶的口令被非法用戶獲悉，則該非法用戶即獲得了該用戶的全部權(quán)限，這樣，尤其是高權(quán)限用戶的口令泄露以后，主機和網(wǎng)絡(luò)也就隨即失去了安全性。黑客攻擊目標時也常常把破譯普通用戶的口令作為攻擊的開始。然后就采用字典窮舉法進行攻擊。它的原理是這樣的：網(wǎng)絡(luò)上的用戶常采用一個英語單詞或自己的姓名、生日作為口令。通過一些程序，自動地從電腦字典中取出一個單詞，作為用戶的口令輸入給遠端的主機，申請進入系統(tǒng)。若口令錯誤，就按序取出下一個單詞，進行下一個嘗試。并一直循環(huán)下去，直到找到正確的口令，或字典的單詞試完為止。由于這個破譯過程由計算機程序來自動完成，幾個小時就可以把字典的所有單詞都試i遍。這樣的測試容易在主機日志上留下明顯攻擊特征，因此，更多的時候攻擊者會利用其它手段去獲得主機系統(tǒng)上的/etc/password文件甚至/etc/shadow文件，然后在本地對其進行字典攻擊或暴力破解。攻擊者并不需要所有人的口令，他們得到幾個用戶口令就能獲取系統(tǒng)的控制權(quán)，所以即使普通用戶取口令過于簡單可能會對系統(tǒng)安全造成很大的威脅。系統(tǒng)管理員以及其它所有用戶對口令選取的應(yīng)采取負責(zé)的態(tài)度，消除僥幸和偷懶思想。然而，有許多用戶對自己的口令沒有很好的安全意識，使用很容易被猜出的口令，如：帳號本身，第一個字母大寫，或者全部大寫，或者后面簡單加上一個數(shù)字，甚至只是簡單的數(shù)字，如0,1,123,888,6666,168等，有些是系統(tǒng)或者主機的名字，或者常見名詞如system,manager,admin等。其實，根據(jù)目前計算機加密解密處理的算法和能力，防止自己口令被使用字典攻擊法猜出的辦法也很簡單，使自己的口令不在相應(yīng)解密程序的字典中。一個好的口令應(yīng)當(dāng)至少有7個字符長，不要用個人信息（如生日，名字等），口令中要有一些非字母（如數(shù)字,標點符號,控制字符等），還要好記一些,不能寫在紙上或計算機中的文件中,選擇口令的一個好方法是將兩個不相關(guān)的詞（最好再組合上大小寫）用一個數(shù)字或控制字符相連,并截斷為8個字符。例如me2.Hk97就是一個從安全角度講很不錯的口令。保持口令安全的一些要點如下：口令長度不小于6位，并應(yīng)同時包含字母和數(shù)字，以及標點符號和控制字符口令中不要使用常用單詞（避免字典攻擊），英文簡稱，個人信息（如生日，名字，反向拼寫的登錄名，房間中可見的東西），年份，以及機器中的命令等不要將口令寫下來。不要將口令存于電腦文件中。不要讓別人知道。不要在不同系統(tǒng)上，特別是不同級別的用戶上使用同一口令。為防止眼明手快的人竊取口令,在輸入口令時應(yīng)確認無人在身邊。定期改變口令，至少6個月要改變一次。系統(tǒng)安裝對口令文件進行隱藏的程序或設(shè)置。（e.g.ShadowSuiteforlinux）?系統(tǒng)配置對用戶口令設(shè)置情況進行檢測的程序，并強制用戶定期改變口令。任何一個用戶口令的脆弱，都會影響整個系統(tǒng)的安全性。（e.g.passwd+,Crack,etc）最后這點是十分重要的，永遠不要對自己的口令過于自信,也許就在無意當(dāng)中泄露了口令。定期地改變口令,會使自己遭受黑客攻擊的風(fēng)險降到了一定限度之內(nèi)。一旦發(fā)現(xiàn)自己的口令不能進入計算機系統(tǒng),應(yīng)立即向系統(tǒng)管理員報告，由管理員來檢查原因。系統(tǒng)管理員也應(yīng)定期運行這些破譯口令的工具,來嘗試破譯shadow文件,若有用戶的口令密碼被破譯出，說明這些用戶的密碼取得過于簡單或有規(guī)律可循,應(yīng)盡快地通知他們,及時更正密碼，以防止黑客的入侵。（四）、網(wǎng)絡(luò)安全管理員的素質(zhì)要求⑴深入地了解過至少兩個操作系統(tǒng)，其中之一無可置疑地是unix。熟練配置主機的安全選項和設(shè)置，及時了解已見報道的安全漏洞，并能夠及時下載相應(yīng)補丁安裝。在特殊緊急情況下，可以獨立開發(fā)適合的安全工具或補丁，提高系統(tǒng)的安全性。⑵對tcp/ip協(xié)議族有透徹的了解，這是任何一個合格的安全管理員的必備的素質(zhì)。并且這種知識要不僅僅停留在internet基本構(gòu)造等基礎(chǔ)知識上，必須能夠根據(jù)偵測到的網(wǎng)絡(luò)信息數(shù)據(jù)進行準確的分析，達到安全預(yù)警，有效制止攻擊和發(fā)現(xiàn)攻擊者等防御目的。⑶熟練使用c,c++,perl等語言進行編程。這是基本要求，因為許多基本的安全工具是用這些語言的某一種編寫的。安全管理員至少能正確地解釋，編譯和執(zhí)行這些程序。更高的要求是能夠把不專門為某個特定平臺開發(fā)的工具移植到自己的平臺上。同時他們還能夠開發(fā)出可擴展自己系統(tǒng)網(wǎng)絡(luò)安全性的工具來，如對satan和safesuite的擴展和升級(它們允許用戶開發(fā)的工具附加到自己上)經(jīng)常地保持與internet社會的有效接觸。不僅要了解自己的機器和局域網(wǎng)，還必須了解熟悉internet。經(jīng)驗是不可替代的。(4)熟練使用英語讀寫，與internet網(wǎng)上的各個安全論壇建立經(jīng)常的聯(lián)系。⑸平時注意收集網(wǎng)絡(luò)的各種信息，包括硬件應(yīng)識別其構(gòu)造、制造商、工作模式，以及每臺工作站、路由器、集線器、網(wǎng)卡的型號等；軟件網(wǎng)絡(luò)軟件的所有類型以及它們的版本號；協(xié)議網(wǎng)絡(luò)正在使用的協(xié)議；網(wǎng)絡(luò)規(guī)劃例如工作站的數(shù)量，網(wǎng)段的劃分，網(wǎng)絡(luò)的擴展；以及其它信息例如網(wǎng)絡(luò)內(nèi)部以前一直實施中的安全策略的概述，曾遭受過的安全攻擊的歷史記錄等。四、現(xiàn)行主要網(wǎng)絡(luò)安全技術(shù)介紹在網(wǎng)絡(luò)安全領(lǐng)域，攻擊隨時可能發(fā)生，系統(tǒng)隨時可能崩潰，因此必須一年365天、一天24小時地監(jiān)視網(wǎng)絡(luò)系統(tǒng)的狀態(tài)。這些工作僅靠人工完成是不可能的。所以，必須借助先進的技術(shù)和工具來幫助企業(yè)完成如此繁重的勞動，以保證計算機網(wǎng)絡(luò)的安全。計算機網(wǎng)絡(luò)的安全性主要包括網(wǎng)絡(luò)服務(wù)的可用性(Availability)、網(wǎng)絡(luò)信息的保密性(Confidentiality)和網(wǎng)絡(luò)信息的完整性(Intergrity)。下面把與之相關(guān)的幾個重要的網(wǎng)絡(luò)安全技術(shù)做一下介紹。(-)殺毒軟件與?般單機的殺毒軟件相比，殺毒軟件的網(wǎng)絡(luò)版市場更多是技術(shù)及服務(wù)的競爭。其特點表現(xiàn)在：首先，殺病毒技術(shù)的發(fā)展日益國際化。世界上每天有13種到50種新病毒出現(xiàn)，并且60%的病毒均通過Internet傳播，病毒發(fā)展有日益跨越疆界的趨勢，殺病毒企業(yè)的競爭也隨之日益國際化。其次，殺毒軟件面臨多平臺的挑戰(zhàn)。一個好的企業(yè)級殺病毒軟件必須能夠支持所有主流平臺，并實現(xiàn)軟件安裝、升級、配置的中央管理及自動化，要達到這樣的要求需要大量工程師幾年的技術(shù)積累。第三，殺毒軟件面臨著Internet的挑戰(zhàn)。好的企業(yè)級殺病毒軟件要保護企業(yè)所有的可能病毒入口，也就是說要支持所有企業(yè)可能用到的Internet協(xié)議及郵件系統(tǒng)，能適應(yīng)并且及時跟上瞬息萬變的Internet時代步伐?，F(xiàn)今60%以上的病毒是通過Internet傳播，可以說Internet的防毒能力成為殺病毒軟件的關(guān)鍵技術(shù)，在這方面，國際的殺毒軟件如：Norton,McAfee,熊貓衛(wèi)士走到了前面，它們均可以支持所有的Internet協(xié)議，辨識出其中病毒。當(dāng)前國內(nèi)正從殺病毒軟件的單機應(yīng)用逐步過渡到企業(yè)級的防護，企業(yè)防病毒軟件的市場無疑將越來越大。企業(yè)級用戶會更多考慮如何保護自身的數(shù)據(jù)、程序,對技術(shù)、服務(wù)和管理的要求比較高。國內(nèi)大部分的殺毒軟件目前在價格和對本土病毒的查殺能力兩個方面存在著優(yōu)勢，但在企業(yè)級的某些特殊性能上存在差距。例如管理方面，一個企業(yè)要管理1000臺機器，Norton的SRC有一臺管理器就可以處理，它可以自動分發(fā)，自動安裝到所有機器里，使管理人員節(jié)省很多時間，減少重復(fù)勞動。另外，企業(yè)級需要更安全的保護，現(xiàn)在政府上網(wǎng)、企業(yè)上網(wǎng)都會遇到很多國際病毒，國內(nèi)部分廠商在這些方面尚待改進。（-）防火墻網(wǎng)絡(luò)安全中系統(tǒng)安全產(chǎn)品使用最廣泛的技術(shù)就是防火墻技術(shù)，即在Internet和內(nèi)部網(wǎng)絡(luò)之間設(shè)一個防火墻。目前在全球連入Internet的計算機中約有三分之一是處于防火墻保護之下。對企業(yè)網(wǎng)絡(luò)用戶來說，如果決定設(shè)定防火墻，那么首先需要由網(wǎng)絡(luò)決策人員及網(wǎng)絡(luò)專家共同決定本網(wǎng)絡(luò)的安全策略，即確定什么類型的信息允許通過防火墻，什么類型的信息不允許通過防火墻。防火墻的職責(zé)就是根據(jù)本單位的安全策略，對外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間交流的數(shù)據(jù)進行檢查，符合的予以放行，不符合的拒之門外。防火墻的技術(shù)實現(xiàn)通常是基于所謂“包過濾”技術(shù)，而進行包過濾的標準通常就是根據(jù)安全策略制定的。在防火墻產(chǎn)品中，包過濾的標準一般是靠網(wǎng)絡(luò)管理員在防火墻設(shè)備的訪問控制清單中設(shè)定。訪問控制一般基于的標準有：包的源地址、包的目的地址、連接請求的方向（連入或連出）、數(shù)據(jù)包協(xié)議（如TCP/IP等）以及服務(wù)請求的類型（如ftp、WWW等）等。除了基于硬件的包過濾技術(shù)，防火墻還可以利用代理服務(wù)器軟件實現(xiàn)。早期的防火墻主要起屏蔽主機和加強訪問控制的作用，現(xiàn)在的防火墻則逐漸集成了信息安全技術(shù)中的最新研究成果，一般都具有加密、解密和壓縮、解壓等功能，這些技術(shù)增加了信息在互聯(lián)網(wǎng)上的安全性?，F(xiàn)在，防火墻技術(shù)的研究已經(jīng)成為網(wǎng)絡(luò)信息安全技術(shù)的主導(dǎo)研究方向。當(dāng)然，網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開放性、便利性、靈活性為代價的，對防火墻的設(shè)置也不例外。防火墻的隔斷作用一方面加強了內(nèi)部網(wǎng)絡(luò)的安全，一方面卻使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的信息系統(tǒng)交流受到阻礙，因此必須在防火墻上附加各種信息服務(wù)的代理軟件來代理內(nèi)部網(wǎng)絡(luò)與外部的信息交流，這樣不僅增大了網(wǎng)絡(luò)管理開銷，而且減慢了信息傳遞速率。針對這個問題，近期，美國網(wǎng)屏（NetScreen）技術(shù)公司推出了第三代防火墻，其內(nèi)置的專用ASIC處理器用于提供硬件的防火墻訪問策略和數(shù)據(jù)加密算法的處理，使防火墻的性能大大提高。需要說明的是，并不是所有網(wǎng)絡(luò)用戶都需要安裝防火墻，一般而言，只有對個體網(wǎng)絡(luò)安全有特別要求，而又需要和Internet聯(lián)網(wǎng)的企業(yè)網(wǎng)、公司網(wǎng)，才建議使用防火墻。另外，防火墻只能阻截來自外部網(wǎng)絡(luò)的侵擾，而對于內(nèi)部網(wǎng)絡(luò)的安全還需要通過對內(nèi)部網(wǎng)絡(luò)的有效控制和管理來實現(xiàn)。(三)加密技術(shù)網(wǎng)絡(luò)安全的另一?個非常重要的手段就是加密技術(shù)，它的思想核心就是既然網(wǎng)絡(luò)本身并不安全可靠，那么所有重要信息就全部通過加密處理。加密的技術(shù)主要分兩種：1、單匙技術(shù)這種技術(shù)無論加密還是解密都是用同一把鑰匙(secretkey)?這是比較傳統(tǒng)的一種加密方法。發(fā)信人用某把鑰匙將某重要信息加密，通過網(wǎng)絡(luò)傳給收信人,收信人再用同一把鑰匙將加密后的信息解密。這種方法快捷簡便，即使傳輸信息的網(wǎng)絡(luò)不安全，被別人截走信息，加密后的信息也不易泄露。但這種方法也存在一個問題，即如果收信者和發(fā)信者不在同一地理位置，那么他們必須確保有一個安全渠道來傳送加密鑰匙。但是如果確實存在這樣一個安全渠道(如通過信差、長途電話等等)，他們又何必需要加密呢？后來出現(xiàn)的雙匙技術(shù)解決了這個難題。2、雙匙技術(shù)此技術(shù)使用兩個相關(guān)互補的鑰匙：?個稱為公用鑰匙(publickey),另一個稱為私人鑰匙(secretkey)。公用鑰匙是大家被告知的，而私人鑰匙則只有每個人自己知道。發(fā)信者需用收信人的公用鑰匙將重要信息加密，然后通過網(wǎng)絡(luò)傳給收信人。收信人再用自己的私人鑰匙將其解密。除了私人鑰匙的持有者，沒有人一即使是發(fā)信者一能夠?qū)⑵浣饷堋９描€匙是公開的，可以通過網(wǎng)絡(luò)告知發(fā)信人(即使網(wǎng)絡(luò)不安全)。而只知道公用鑰匙是無法導(dǎo)出私人鑰匙的?，F(xiàn)有軟件如Internet免費提供的PGP(PrettyGoodPrivacy)可直接實現(xiàn)這些功能。加密技術(shù)主要有兩個用途，?是加密信息，正如上面介紹的；另一個是信息數(shù)字署名，即發(fā)信者用自己的私人鑰匙將信息加密，這就相當(dāng)于在這條消息上署上了名。任何人只有用發(fā)信者的公用鑰匙，才能解開這條消息。這一方面可以證明這條信息確實是此發(fā)信者發(fā)出的，而且事后未經(jīng)過他人的改動（因為只有發(fā)信者才知道自己的私人鑰匙）；另一方面也確保發(fā)信者對自己發(fā)出的消息負責(zé)，消息一旦發(fā)出并署了名，他就無法再否認這一事實。如果既需要保密又希望署名，則可以將上面介紹的兩個步驟合并起來。即發(fā)信者先用自己的私人鑰匙署名再用收信者的公用鑰匙加密，再發(fā)給對方。反過來收信者只需用自己的私人鑰匙解密，再用發(fā)信者的公用鑰匙驗證簽名。這個過程說起來有些繁瑣，實際上很多軟件都可以只用--條命令實現(xiàn)這些功能，非常簡便易行。在網(wǎng)絡(luò)傳輸中，加密技術(shù)是一種效率高而又靈活的安全手段，值得在企業(yè)網(wǎng)絡(luò)中加以推廣。目前，加密算法有多種，大多源于美國，但是大多受到美國出口管制法的限制?，F(xiàn)在金融系統(tǒng)和商界普遍使用的算法是美國數(shù)據(jù)加密標準DES。近幾年來我國對加密算法的研究主要集中在密碼強度分析和實用化研究上。（四）其他網(wǎng)絡(luò)安全技術(shù)除了上面介紹的幾種之外，還有一些被廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù)，在此做一個簡單介紹。1、身份驗證身份驗證是一致性驗證的?種，驗證是建立一致性證明的?種手段。身份驗證主要包括驗證依據(jù)、驗證系統(tǒng)和安全要求。身份驗證技術(shù)是在計算機中最早應(yīng)用的安全技術(shù)，現(xiàn)在也仍在廣泛應(yīng)用，它是互聯(lián)網(wǎng)上信息安全的第一道屏障。2、存取控制存取控制規(guī)定何種主體對何種客體具有何種操作權(quán)力。存取控制是網(wǎng)絡(luò)安全理論的重要方面，主要包括人員限制、數(shù)據(jù)標識、權(quán)限控制、類型控制和風(fēng)險分析。存取控制也是最早采用的安全技術(shù)之一，它一般與身份驗證技術(shù)一起使用，賦予不同身份的用戶以不同的操作權(quán)限，以實現(xiàn)不同安全級別的信息分級管理。3、數(shù)據(jù)完整性完整性證明是在數(shù)據(jù)傳輸過程中，驗證收到的數(shù)據(jù)和原來數(shù)據(jù)之間保持完全一致的證明手段。檢查是最早采用數(shù)據(jù)完整性驗證的方法，它雖不能保證數(shù)據(jù)的完整性，只起到基本的驗證作用，但由于它的實現(xiàn)非常簡單（?般都由硬件實現(xiàn)），現(xiàn)在仍廣泛應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)的傳輸和保護中。近幾年來研究比較多的是數(shù)字簽名等算法，它們雖可以保證數(shù)據(jù)的完整性，但由于實現(xiàn)起來比較復(fù)雜，系統(tǒng)開銷比較大，一般只用于完整性要求較高的領(lǐng)域，特別是商業(yè)、金融業(yè)等領(lǐng)域。4、安全協(xié)議安全協(xié)議的建立和完善是安全保密系統(tǒng)走上規(guī)范化、標準化道路的基本因素。一個較為完善的內(nèi)部網(wǎng)和安全保密系統(tǒng)，至少要實現(xiàn)加密機制、驗證機制和保護機制。需要強調(diào)的是，網(wǎng)絡(luò)安全是一個系統(tǒng)工程，不是單一的產(chǎn)品或技術(shù)可以完全解決的。這是因為網(wǎng)絡(luò)安全包含多個層面，既有層次上的劃分、結(jié)構(gòu)上的劃分，也有防范目標上的差別。在層次上涉及到網(wǎng)絡(luò)層的安全、傳輸層的安全、應(yīng)用層的安全等；在結(jié)構(gòu)上，不同節(jié)點考慮的安全是不同的；在目標上，有些系統(tǒng)專注于防范破壞性的攻擊，有些系統(tǒng)是用來檢查系統(tǒng)的安全漏洞，有些系統(tǒng)用來增強基本的安全環(huán)節(jié)（如審計），有些系統(tǒng)解決信息的加密、認證問題，有些系統(tǒng)考慮的是防病毒的問題。任何一個產(chǎn)品不可能解決全部層面的問題，這與系統(tǒng)的復(fù)雜程度、運行的位置和層次都有很大關(guān)系，因而一個完整的安全體系應(yīng)該是一個由具有分布性的多種安全技術(shù)或產(chǎn)品構(gòu)成的復(fù)雜系統(tǒng)，既有技術(shù)的因素，也包含人的因素。用戶需要根據(jù)自己的實際情況選擇適合自己需求的技術(shù)和產(chǎn)品。按照前面提到的計算機網(wǎng)絡(luò)的安全性內(nèi)容，整個網(wǎng)絡(luò)安全產(chǎn)品可劃分為系統(tǒng)安全產(chǎn)品和數(shù)據(jù)安全產(chǎn)品。其中系統(tǒng)安全產(chǎn)品可分為防病毒類產(chǎn)品（殺毒軟件）、防火墻類產(chǎn)品和其他防攻擊類產(chǎn)品等：而數(shù)據(jù)安全產(chǎn)品可分為密碼類產(chǎn)品、CA類產(chǎn)品和訪問控制類產(chǎn)品等。那么，這些產(chǎn)品的市場情況如何？有哪些品牌的產(chǎn)品？用戶如何選擇呢？五、選擇適合您的網(wǎng)絡(luò)安全產(chǎn)品目前，安全產(chǎn)品主要是以安全軟件為主，其中包括殺毒軟件、防火墻、安全管理、認證授權(quán)、加密等軟件產(chǎn)品，其中以殺毒軟件和網(wǎng)絡(luò)安全軟件中的防火墻應(yīng)用得最為廣泛；硬件產(chǎn)品包括安全服務(wù)器、硬件加密機、物理隔離卡及基于硬件的防火墻等。而目前國內(nèi)的安全軟件市場則以殺毒軟件和防火墻為主，這兩類產(chǎn)品占據(jù)了安全軟件市場的絕大部分份額。2002年是信息安全年,經(jīng)過上半年的市場培育與炒作,下半年安全產(chǎn)品市場已全面啟動。目前，在銀行、保險、證券、郵電、軍隊、海關(guān)、稅務(wù)、政府部門等行業(yè)用戶以及電子商務(wù)公司與網(wǎng)站對防火墻、掃描器、入侵檢測、訪問控制、加密、身份認證等安全產(chǎn)品的需求日益增加，安全服務(wù)市場也隨之看漲。根據(jù)CCID的調(diào)查，網(wǎng)絡(luò)安全產(chǎn)品行業(yè)用戶分布如下：交通能源8%、政府13%、郵電28%、金融35缸其他16%。對于大多數(shù)用戶而言，他們目前需求的已經(jīng)不再是單一的產(chǎn)品，而是從系統(tǒng)需求分析到產(chǎn)品和服務(wù)的專業(yè)化整體解決方案。為了提高市場競爭力，安全廠商紛紛通過并購、聯(lián)合、代理等方式，豐富產(chǎn)品線，實現(xiàn)優(yōu)勢互補。例如賽門鐵克收購了著名的防火墻生產(chǎn)商Axent以豐富自己的產(chǎn)品線；NAI的產(chǎn)品覆蓋了防病毒、防火墻、入侵檢測、加密、身份認證五大領(lǐng)域；ISS與趨勢科技和美國硅谷的Linktrust合為一體成立了IS-ONE；CA推出了端對端的電子商務(wù)安全解決方案eTrust,其中包括訪問控制、防火墻、入侵檢測、防病毒等。近兩年安全軟件的市場一直保持著較大幅度的增長率，1999年國內(nèi)安全軟件的銷售額為4.55億元，于1998年相比市場增長率為33.8%,其增長速度明顯高于軟件整體市場的增長率。2000年下半年起，安全產(chǎn)品市場快速啟動。目前,在我國每三天就有一家安全公司成立，國外的安全公司也紛紛殺入中國市場，我國?些比較知名的1T公司也紛紛開始開發(fā)安全產(chǎn)品，例如聯(lián)想、方正、清華紫光等。現(xiàn)在我國開發(fā)防火墻的商家有一百多家，開發(fā)掃描器的公司有二十多家，開發(fā)入侵檢測的公司有三十多家，開發(fā)防病毒產(chǎn)品的公司有近二十家。再加上國外的產(chǎn)品，競爭還是相當(dāng)激烈的。1、殺毒軟件殺毒軟件作為一種重要的工具軟件，一直是軟件市場上的一個焦點。近兩年來，殺毒軟件市場競爭日趨激烈，國內(nèi)廠商不僅僅依靠炒作病毒來推銷產(chǎn)品，也開始注重產(chǎn)品自身的廣告?zhèn)鞑ズ褪袌龉P(guān)活動。國外廠商在國內(nèi)的企業(yè)級市場站穩(wěn)后，紛紛進入國內(nèi)零售市場，以期望達到擴大市場銷售，提高產(chǎn)品知名度，帶動企業(yè)級產(chǎn)品銷售的目的。目前國內(nèi)的安全市場國內(nèi)殺毒軟件產(chǎn)品和國外殺毒軟件各占據(jù)了半壁江山。國外殺毒軟件占主導(dǎo)地位的有五大品牌：賽門鐵克的Norton,NAI的McAfee、趨勢的PC-Cillin以及Panda和CA的殺毒軟件。國內(nèi)的產(chǎn)品主要是瑞星、KilE江民公司的KV3000、金山毒霸等。(1)賽門鐵克公司諾頓(Norton)防病毒企業(yè)版7.5諾頓防病毒企業(yè)版7.5是賽門鐵克公司主要的企業(yè)級防病毒產(chǎn)品。作為賽門鐵克企業(yè)安全解決方案的一個重要組成部分，它是一個針對于企業(yè)計算機環(huán)境的綜合的、模塊化的互聯(lián)網(wǎng)安全解決方案，能夠在各種操作系統(tǒng)下提供多重病毒防護。與同類產(chǎn)品相比，諾頓防病毒企業(yè)版7.5具有許多自己的特點：首先，該產(chǎn)品取代了依靠電子郵件提交被感染文件的方式，改為基于互聯(lián)網(wǎng)的掃描和通過互聯(lián)網(wǎng)向賽門鐵克提交被感染文件，使得病毒響應(yīng)時間更快，而且安全性更高；其次，產(chǎn)品的使用和管理上更加方便，掃描引擎和病毒定義碼可以同時更新和升級，簡單而快捷。這樣的特點使企業(yè)可以迅速響應(yīng)突發(fā)性惡意病毒,同時還能降低企業(yè)的升級時間和工作成本。賽門鐵克系統(tǒng)中心提供給用戶一個直觀的中央控制臺，這個中央控制臺使得用戶能夠從單一控制臺保護并監(jiān)控聯(lián)網(wǎng)的所有計算機。這樣，系統(tǒng)管理員就能夠設(shè)置、關(guān)閉政策以確保用戶隨時都能夠受到全面的保護。此外，賽門鐵克擁有一些防病毒產(chǎn)品中的獨有技術(shù)，如e-mail掃描等。病毒方面，一般國內(nèi)病毒庫的病毒定義碼只有1000到2000條，而賽門鐵克的病毒定義碼有5萬多條。而且，賽門鐵克的產(chǎn)品和微軟的平臺緊密合作，每次微軟新的平臺發(fā)布，賽門鐵克都會很快做相應(yīng)的調(diào)整。(2)NAI公司反病毒軟件NAI(美國網(wǎng)絡(luò)聯(lián)盟公司)的McAfee是世界反病毒產(chǎn)品的著名品牌，在全球反病毒市場占據(jù)了相當(dāng)?shù)氖袌龇蓊~。NAI的反病毒軟件可以提供適合于各類企業(yè)網(wǎng)絡(luò)及個人臺式機的全面反病毒解決方案,包括三個套裝軟件:VSSCVirusScanSecuritySuite)桌面反病毒解決方案;NSS(NetShieldSecuritySuite)服務(wù)器級反病毒解決方案；ISS(InternetSecuritySuite)Internet網(wǎng)關(guān)反病毒解決方案。這些系列產(chǎn)品形成了全面、完整的反病毒體系。NAI的病毒檢測與清除能力非常強，其防病毒軟件VirusScan擁有專利的啟發(fā)式檢測病毒技術(shù)，可以精確地檢測到新病毒，在多個獨立的實驗室測試中獲得過100%檢測不明病毒的認證。其實時掃描技術(shù)能夠在磁盤訪問、文件復(fù)制、文件創(chuàng)建、文件重命名、程序執(zhí)行、系統(tǒng)啟動和系統(tǒng)關(guān)閉時捕獲病毒；用戶還能利用VirusScan的按需掃描技術(shù)自己設(shè)定，掃描位于文件、驅(qū)動器和軟盤內(nèi)的已知引導(dǎo)區(qū)病毒、文件病毒、變種病毒、幽靈病毒、加密病毒和變形病毒等。NAI的服務(wù)與保障措施非常完善。NAI在全球擁有由近100名病毒研究專家組成的反病毒緊急響應(yīng)小組，他們將對用戶提供7X24小時的技術(shù)支持。2、防火墻防火墻市場作為用戶解決網(wǎng)絡(luò)安全隱患的最起碼和最必要的裝備，具有最大的市場容量。目前防火墻在國內(nèi)市場上的競爭十分激烈。一方面，國外廠商如NetScreen、Checkpoint、Gauntlet等紛紛進入中國市場；另一方面由于防火墻市場需求量大，國內(nèi)許多網(wǎng)絡(luò)安全廠商都基本以防火墻作為生產(chǎn)的首選產(chǎn)品。像東大阿爾派、聯(lián)想、高陽信安、紫光、中科網(wǎng)威、天網(wǎng)、天融信、實達朗新、海信等都有了自己開發(fā)的防火墻。與國內(nèi)產(chǎn)品相比，國外防火墻產(chǎn)品優(yōu)勢在于技術(shù)成熟、知名度高，因此在國內(nèi)高端防火墻市場中，國外產(chǎn)品始終占據(jù)優(yōu)勢。金融、電信、大型ISP、除特殊部門外的大部分行業(yè)用戶一般都選用了國外防火墻產(chǎn)品。國內(nèi)自主開發(fā)的防火墻主要集中在低端防火墻領(lǐng)域。國產(chǎn)防火墻在技術(shù)上和國外的相比還有一定的差距，但也在國家機關(guān)、軍隊、金融、電信等部門占據(jù)了一定的市場份額。(1)網(wǎng)屏(NetScreen)公司NetScreenTOOO美國網(wǎng)屏技術(shù)有限公司是業(yè)界著名的網(wǎng)絡(luò)安全公司。據(jù)該公司介紹，其高端防火墻產(chǎn)品占全球市場的60%以上。針對用戶不同的安全應(yīng)用需求，網(wǎng)屏公司提供一整套解決方案，從面向供應(yīng)商、互聯(lián)網(wǎng)數(shù)據(jù)中心、城域網(wǎng)和其他用戶的高端解決方案到為大企業(yè)客戶乃至工作組及小型辦公室提供的安全應(yīng)用一應(yīng)俱全。NetScreen-1000是一款將防火墻和VPN的功能集成在一起并具有千兆位處理能力的安全產(chǎn)品。由于產(chǎn)品是使用內(nèi)置的ASIC硬件加速器進行并行處理，而且使用其特有的操作系統(tǒng)，產(chǎn)品的性能和安全性大大提高：NetScreen-1000可以處理1000Mbps的吞吐量，50萬個同時的TCP會話。此外，這一產(chǎn)品還具有高可用性和冗余特性，其可擴展結(jié)構(gòu)確保了用戶長期的業(yè)務(wù)增長的需求，并易于集成大多數(shù)現(xiàn)有的網(wǎng)絡(luò)環(huán)境。因此，NetScreen-1000產(chǎn)品不僅適用于單一大型企業(yè)、電子商務(wù)網(wǎng)站、公司總部和城域網(wǎng)，還可以用于Internet數(shù)據(jù)中心(IDC)、服務(wù)提供商、應(yīng)用架構(gòu)商等等。(2)東大阿爾派防火墻產(chǎn)品一NetEye防火墻作為中國最大的應(yīng)用軟件供應(yīng)商之一，東大阿爾派很早便開始關(guān)注信息安全領(lǐng)域。目前產(chǎn)品已經(jīng)形成了一個立體的、多層次的、全面的網(wǎng)絡(luò)安全構(gòu)架，包括NetEye防火墻、入侵檢測、NetEyeVPN、UniversalCA、安全快遞等。2000年，東大阿爾派在國內(nèi)率先提出并在其NetEye防火墻軟件中率先實現(xiàn)網(wǎng)絡(luò)安全新概念：“N+1”模式全黑洞和“二合一全模式”。前者對通過防火墻的網(wǎng)絡(luò)信息不會提供任何反饋，從而能夠屏蔽防火墻及內(nèi)部網(wǎng)絡(luò)的存在，確保了網(wǎng)絡(luò)的安全；后者則使產(chǎn)品既可以工作在網(wǎng)橋模式下形成隱形防火墻，也可以形成路由模式下的網(wǎng)關(guān)防火墻。該軟件具有強大的信息分析，全面訪問控制，實時監(jiān)控、安全審計、高效包過濾功能，而且具有多種反電子欺騙手段，透明應(yīng)用代理，雙機熱備等多種安全措施，應(yīng)用非常廣泛。此外，NetEye防火墻部署容易，可以很容易地適應(yīng)用戶的網(wǎng)絡(luò)結(jié)構(gòu)，建立內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的屏障，同時也可以在內(nèi)部網(wǎng)的關(guān)鍵節(jié)點進行不同安全區(qū)域間的分割，為用戶建立多層次的安全保護體系。(3)中軟HuaTech-2000型防火墻中軟HuaTech-2000型防火墻是…款復(fù)合型防火墻設(shè)備，具有操作簡便、高效、經(jīng)濟等特點。該產(chǎn)品已獲得國家相關(guān)部門頒發(fā)的安全認證和銷售許可證書，安全可靠，管理方便，可廣泛應(yīng)用在電子商務(wù)、電子政務(wù)、ASP商業(yè)應(yīng)用如金融、證券、保險等行業(yè)。3、入侵、密碼及認證產(chǎn)品1999年從事入侵檢測的