序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇安全網(wǎng)絡(luò)論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

檔案信息化以計算機技術(shù)為基礎(chǔ)，與以往的紙質(zhì)檔案資料相比，具有以下特征：

1.1設(shè)備依賴性。

不同于過往的檔案記載，信息化的檔案資料再也不是一支筆、一份紙記錄的過程，從輸入到輸出都是經(jīng)由計算機與其輔助設(shè)備實現(xiàn)，管理與傳輸也都依賴各種軟件與網(wǎng)絡(luò)資源共享，信息處理速度與質(zhì)量在某些程度上依賴于計算機的性能與軟件的適應(yīng)性。

1.2易控性和可變性。

信息化的檔案資料一般是以通用的文檔、圖片、視頻、音頻等形式儲存下來，這給信息共享帶來了便利，但也增加了檔案資料的易控性和可變性，對于文檔資料可以通過office工具刪除修改文字、對于圖片資料可以通過photoshop輕易地改變其原有的面貌、對于音頻和視頻資料可以通過adobeaudition和premiere工具的剪輯變成完全不同的模樣，這些都造成了檔案信息易丟失的現(xiàn)象。

1.3復(fù)雜性。

檔案信息量不斷增加、信息存儲形式也變得豐富多樣，不僅有前文所述的文檔、圖像、視頻、音頻等形式，不同格式之間的信息資料還可以相互轉(zhuǎn)換，如視頻與圖片、文字與圖片的轉(zhuǎn)換等等，進一步增加了檔案信息的復(fù)雜性。

2目前網(wǎng)絡(luò)環(huán)境下檔案信息安全管理存在的問題

2.1網(wǎng)絡(luò)環(huán)境下檔案信息安全問題的特性。

檔案信息化有其顯著特征，在此基礎(chǔ)上的檔案信息安全問題屬性也發(fā)生了較大變化。首先表現(xiàn)在信息共享的無邊界性，發(fā)達的網(wǎng)絡(luò)技術(shù)使得整個世界變成一張巨大的網(wǎng)，上傳的信息即使在大洋彼岸也能及時查看，一旦信息泄露，傳播的范圍廣、造成的危害難以估量。同時，在某種程度上檔案信息化系統(tǒng)也存在著脆弱性問題，計算機病毒可以入侵系統(tǒng)的眾多組成部分，而任何一部分被攻擊都可能造成整個系統(tǒng)的崩潰。此外，網(wǎng)絡(luò)安全問題還存在一定的隱蔽性，無需面對面交流，不用對話溝通，只需打開一個網(wǎng)頁或是鼠標輕輕點擊，信息就會在極短時間內(nèi)被竊取，造成嚴重后果。

2.2網(wǎng)絡(luò)環(huán)境下檔案信息安全面臨的主要問題。

1）檔案信息化安全意識薄弱。很多情況下，檔案信息被竊取或損壞并不是因為入侵者手段高明，而是檔案信息管理系統(tǒng)自身安全漏洞過多，其本質(zhì)原因是檔案信息管理安全意識不夠。受傳統(tǒng)檔案管理觀念的桎梏、自身技術(shù)水平的限制，很多管理人員并未將檔案信息看作極為重要的資源，對相關(guān)資料處理的隨意性大，也無法覺察到潛在的風險，日常操作管理不規(guī)范，增加了檔案安全危機發(fā)生的可能性。

2）檔案信息化安全資金投入不夠。現(xiàn)代信息環(huán)境復(fù)雜多變，數(shù)據(jù)量急劇增加，信息管理難度也越來越大，對各種硬件、軟件設(shè)備的要求也進一步提高，需要企業(yè)在檔案信息管理方面投入更多的人力、物力，定期檢查系統(tǒng)漏洞。而就目前情況而言，大部分企業(yè)在這方面投入的資源還遠遠達不到要求，檔案信息管理的安全性得不到有效保障。

3）檔案信息化安全技術(shù)問題。技術(shù)問題首先表現(xiàn)在互聯(lián)網(wǎng)自身的開放性特征中，互聯(lián)網(wǎng)的基石是TCP/IP協(xié)議，以效率和及時溝通性為第一追求目標，必然會導(dǎo)致安全性的犧牲，諸如E-mail口令與文件傳輸?shù)炔僮骱苋菀妆槐O(jiān)聽，甚至于不經(jīng)意間計算機就會被遠程操控，許多服務(wù)器都存在可被入侵者獲取最高控制權(quán)的致命漏洞。此外，網(wǎng)絡(luò)環(huán)境資源良莠不齊，許多看似無害的程序中夾雜著計算機病毒代碼片段，隱蔽性強、傳染性強、破壞力大，給檔案信息帶來了嚴重威脅。

3網(wǎng)絡(luò)環(huán)境下實現(xiàn)檔案信息安全保障原則

3.1檔案信息安全的絕對性與相對性。

檔案信息安全管理工作的重要性是無需置疑的，是任何企業(yè)特別是握有核心技術(shù)的大型企業(yè)必須注重的問題，然而，檔案信息管理并沒有一勞永逸的方法，與傳統(tǒng)檔案一樣，不存在絕對的安全保障，某一時期看起來再完善的系統(tǒng)也會存在不易發(fā)現(xiàn)的漏洞，隨著科技的不斷發(fā)展，會愈來愈明顯地暴露出來。同時，檔案信息安全維護技術(shù)也沒有絕對的優(yōu)劣之分，根據(jù)實際情況的需求，簡單的技術(shù)可能性價比更高。

3.2管理過程中的技術(shù)與非技術(shù)因素。

檔案信息管理工作不是單一的網(wǎng)絡(luò)技術(shù)維護人員工作，也不是管理人員的獨角戲，而需要技術(shù)與管理的有機結(jié)合。檔案管理人員可以不具備專業(yè)網(wǎng)絡(luò)技術(shù)人才的知識儲備量，但一定要具備發(fā)現(xiàn)安全問題的感知力與責任心，對于一些常見入侵跡象要了然于心，對于工作中出現(xiàn)的自身無法解決的可疑現(xiàn)象應(yīng)及時通知更專業(yè)的技術(shù)人員查看。可根據(jù)企業(yè)實際情況建立完善的檔案安全管理機制，充分調(diào)動各部門員工的力量，以系統(tǒng)性、全面性的理念去組織檔案信息管理工作。

4網(wǎng)絡(luò)環(huán)境下檔案信息安全管理具體保障方法

4.1建立制度屏障。

完善的制度是任何工作順利進行的前提與基礎(chǔ)，對于復(fù)雜網(wǎng)絡(luò)環(huán)境下的檔案信息安全管理工作來說更是如此。在現(xiàn)今高度發(fā)達的信息背景下，檔案管理再不是鎖好一扇門、看好一臺計算機的簡單工作，而是眾多高新技術(shù)的集合體，因此，做好檔案信息安全管理工作首先要加強安全意識的宣傳，包括保密意識教育與信息安全基礎(chǔ)教育，加強檔案管理人員特別是技術(shù)操作人員的培訓(xùn)工作。同時，應(yīng)注重責任制度的落實，詳細規(guī)定庫房管理、檔案借閱、鑒定、銷毀等責任分配，詳細記錄檔案管理培訓(xùn)與考核工作、記錄進出檔案室的人員信息，具體工作落實到人。在實際操作中，應(yīng)嚴格記錄每一個操作步驟，將檔案接收、借閱、復(fù)制等過程完整、有條理地編入類目中，以便日后查閱。

4.2建立技術(shù)屏障。

網(wǎng)絡(luò)環(huán)境下的信息安全技術(shù)主要體現(xiàn)在通信安全技術(shù)和計算機安全技術(shù)兩個方面。

1）通信安全技術(shù)。通信安全技術(shù)應(yīng)用于檔案資料的傳輸共享過程中，可分為加密、確認與網(wǎng)絡(luò)控制技術(shù)等幾大類。其中，信息加密技術(shù)是實現(xiàn)檔案信息安全管理的關(guān)鍵，通過各種不同的加密算法實現(xiàn)信息的抽象化與無序化，即使被劫持也很難辨認出原有信息，這種技術(shù)性價比高，較小的投入便可獲得較高的防護效果。檔案信息確認技術(shù)是通過限制共享范圍達到安全性要求，每一個用戶都掌握著識別檔案信息是否真實的方案，而不法接收者難以知曉方案的實際內(nèi)容，從而預(yù)防信息的偽造、篡改行為。

2）計算機安全技術(shù)。從計算機安全角度入手，可采用芯片卡識別制度，每一名合法使用者的芯片卡微處理機內(nèi)記錄特有編號，只有當編號在數(shù)據(jù)庫范圍內(nèi)時方可通過認證，防止檔案信息經(jīng)由計算機存儲器被竊的現(xiàn)象發(fā)生。同時，應(yīng)加強計算機系統(tǒng)的防火墻設(shè)計，注意查找系統(tǒng)漏洞。

4.3建立法律屏障。

篇(2)

【關(guān)鍵詞】VPN;遠程教育;遠程教育平臺

【中圖分類號】 G40-057 【文獻標識碼】A【論文編號】1009―8097(2009)12―0130―03

一 引言

遠程教育具有用戶數(shù)量多、分布范圍廣、接入方式多樣化的特征,如何保證遠程教育得以順利開展,是構(gòu)建遠程教育系統(tǒng)時應(yīng)該考慮的主要問題[1]。隨著Internet的迅速發(fā)展,各種寬帶接入方式的出現(xiàn),虛擬專用網(wǎng)技術(shù)(VPN)也應(yīng)運而生。VPN是利用開放的公眾網(wǎng)絡(luò)建立專用數(shù)據(jù)傳輸通道,將遠程的站點、伙伴、移動辦公人員等連接起來,并且提供安全的端到端的數(shù)據(jù)通信,是一種虛擬技術(shù)。把VPN技術(shù)應(yīng)用于遠程教育系統(tǒng)的構(gòu)建中,既可以保證數(shù)據(jù)安全,又可以節(jié)省遠程用戶的訪問費用,同時可以在VPN上開展不同形式的遠程教學(xué)。本文結(jié)合實際,探討高校遠程教育VPN網(wǎng)絡(luò)平臺的實現(xiàn)過程[2]。

二 建設(shè)目標

總體目標是利用VPN技術(shù)建立一個基于Internet的遠程教育系統(tǒng)的私有網(wǎng)絡(luò),實現(xiàn)在該VPN網(wǎng)絡(luò)平臺上,遠程教育各個管理應(yīng)用系統(tǒng)數(shù)據(jù)的安全傳輸,以及對接入用戶身份的有效認證和方便控制。尤其在對教師、學(xué)員等移動用戶的接入身份認證上,需要將VPN系統(tǒng)和高校遠程教育應(yīng)用系統(tǒng)的身份認證模塊無縫整合,實現(xiàn)VPN接入和應(yīng)用系統(tǒng)用戶身份的集中管理和統(tǒng)一控制,極大方便系統(tǒng)管理員管理和用戶使用。

三 系統(tǒng)設(shè)計

在我校遠程教育系統(tǒng)信息中心,通過千兆光纖連接到互聯(lián)網(wǎng)。由于中心網(wǎng)點是整個系統(tǒng)的核心,要確保高可靠性,所以在出口處部署2臺100/1000M自適應(yīng)級安全網(wǎng)關(guān),實現(xiàn)雙機熱備功能。對于分支機構(gòu),根據(jù)各分支機構(gòu)的不同情況,分別部署硬件安全網(wǎng)關(guān)設(shè)備和軟件網(wǎng)關(guān)到各駐外機構(gòu)。對于老師這類移動用戶,采用“USB KEY”硬件方式進行身份認證,通過配套的安全客戶端軟件實現(xiàn)遠程移動安全接入[3]。對于學(xué)員這類移動用戶,采用“用戶名+密碼”純軟件方式進行身份認證(在安全客戶端啟動界面上輸入),結(jié)合安全客戶端軟件實現(xiàn)遠程移動安全接入(如圖1)。

圖1 系統(tǒng)網(wǎng)絡(luò)拓撲示意圖

1 服務(wù)端

在網(wǎng)絡(luò)的出口處,部署VPN安全網(wǎng)關(guān)(安全網(wǎng)關(guān)綜合利用了隧道技術(shù)、加密技術(shù)、認證技術(shù)來保護大學(xué)遠程教育系統(tǒng)和下屬市、縣遠程教育系統(tǒng)內(nèi)網(wǎng)的安全通訊、安全傳輸)[4]。另外,安全網(wǎng)關(guān)可以提供高可靠性的雙機熱備功能,可以在主設(shè)備發(fā)生故障時,備份網(wǎng)關(guān)自動快速進行狀態(tài)切換,確保系統(tǒng)工作不中斷。安全網(wǎng)關(guān)可以實現(xiàn)以下幾方面功能:

(1) 和遠地分支機構(gòu)網(wǎng)絡(luò)邊界部署的VPN安全網(wǎng)關(guān)或安全客戶端建立VPN加密隧道,確保數(shù)據(jù)傳輸安全;并能夠通過VPN通訊策略的靈活設(shè)置,根據(jù)用戶要求實現(xiàn)對指定網(wǎng)段/范圍/IP地址的PC的應(yīng)用系統(tǒng)數(shù)據(jù)傳輸進行加密保護。

(2) 對總部內(nèi)網(wǎng)的防火墻防護:安全網(wǎng)關(guān)具備優(yōu)良的狀態(tài)檢測防火墻功能,可以防御外網(wǎng)對內(nèi)部主機的端口掃描、各種DoS/DDoS攻擊等惡意攻擊行為,還可以抵御各種常用的應(yīng)用層攻擊。另外,可以通過VPN安全網(wǎng)關(guān)上的訪問控制策略,對內(nèi)網(wǎng)PC進行嚴格的基于“五元組+時間”的訪問控制[5]。如:為確保安全性,可對允許上網(wǎng)的PC進行IP和MAC綁定,并通過網(wǎng)關(guān)中的安全策略設(shè)置對這些PC的數(shù)據(jù)流進行狀態(tài)檢測,以確保不能被仿冒;也可以使用網(wǎng)關(guān)中的“用戶上網(wǎng)認證”功能,使用戶在使用瀏覽器上網(wǎng)瀏覽時,首先要通過網(wǎng)關(guān)的訪問密碼認證;禁止某些URL網(wǎng)址的訪問等[6]。

(3) 安全網(wǎng)關(guān)具備八個等級的QoS控制功能,能夠為VOIP和視頻等需要優(yōu)先的網(wǎng)絡(luò)應(yīng)用保留帶寬和優(yōu)先處理,這樣當網(wǎng)絡(luò)擁擠時,也能夠保障VOIP和視頻的暢通和話音質(zhì)量。安全網(wǎng)關(guān)能夠?qū)⒃L問控制策略與保留帶寬綁定,并能為這些應(yīng)用設(shè)定優(yōu)先級,共有8個處理等級可以設(shè)置。

2 各地分支機構(gòu)

可以根據(jù)各分支機構(gòu)的不同情況,分別部署硬件安全網(wǎng)關(guān)或安全客戶端系統(tǒng)(配合USB KEY)到各駐外機構(gòu)。具有子網(wǎng)的各駐外機構(gòu)采用ADSL或者其他寬帶方式(如Cable Modem、FTTB等)接入Internet。建議在有一定規(guī)模的局域網(wǎng)出口處,部署中低端型號的安全網(wǎng)關(guān),如:SGW25A或SGW25B;建議在僅有少數(shù)終端的分支機構(gòu)(如辦事處),在需要聯(lián)入遠程教育網(wǎng)的終端上安裝安全客戶端軟件(與USB KEY配合使用),并與上網(wǎng)軟件或NAT軟件配合構(gòu)成軟件網(wǎng)關(guān),從而和總部聯(lián)網(wǎng)實現(xiàn)VPN加密通訊(如圖2)。

圖2 中等規(guī)模分支機構(gòu)網(wǎng)絡(luò)示意圖

可根據(jù)用戶的網(wǎng)絡(luò)接入帶寬和網(wǎng)絡(luò)規(guī)模,選擇合適的安全網(wǎng)關(guān)產(chǎn)品。對于規(guī)模較小的網(wǎng)點,可以采用安全客戶端軟件加硬件USB KEY實現(xiàn)和總部的互連(如圖3)。

圖3 小規(guī)模分支機構(gòu)網(wǎng)絡(luò)示意圖

3 教師和學(xué)員等移動用戶

遠程教育系統(tǒng)的用戶數(shù)目龐大,主要包括教師和學(xué)員。

對于大數(shù)量的用戶,需要有一個很好的組織方式,方便管理和維護,并且和應(yīng)用系統(tǒng)能夠無縫整合,實現(xiàn)VPN接入身份認證和應(yīng)用系統(tǒng)身份認證完全實現(xiàn)統(tǒng)一:統(tǒng)一管理、單點登錄[7]。對于教師,由于數(shù)量較少,人員比較穩(wěn)定,而且使用的系統(tǒng)與內(nèi)部管理關(guān)聯(lián)緊密,所以需要更高的安全性。建議采用安全客戶端配套USB KEY來解決教師和總部VPN安全網(wǎng)關(guān)的互聯(lián)互通。

對于學(xué)員,由于數(shù)量龐大,而且分布在全國各地,不便進行現(xiàn)場支持,而且穩(wěn)定性相對較差,所以建議采用純軟件版的安全客戶端系統(tǒng)實現(xiàn)和總部VPN安全網(wǎng)關(guān)的互聯(lián)互通,同時通過“帳戶名+口令”的方式進行VPN接入身份認證;并且通過定制,實現(xiàn)VPN接入的“帳戶名+口令”與應(yīng)用系統(tǒng)的“帳戶名+口令”完全一致,實現(xiàn)單點登錄。

根據(jù)上述方法,一種對用戶(教師和學(xué)員)實現(xiàn)統(tǒng)一管理的方法,可采用LDAP目錄來保存用戶信息,所有的用戶信息都保存在LDAP服務(wù)器上[8]。

LDAP是Lightweight Directory Access Protocol的縮寫,基于X.500標準,但是簡化了很多并且可以根據(jù)需要定義。與X.500不同的是LDAP支持TCP/IP,這是訪問Internet所必須的。通過LDAP可以訪問存儲在LDAP目錄中的信息。LDAP目錄采用樹型層次結(jié)構(gòu)來存儲數(shù)據(jù),就象DNS的主機名一樣,LDAP目錄中記錄的的標志名(Distinguished Name)用來讀取單個記錄,并回溯到目錄樹的頂部。

大多數(shù)的LDAP服務(wù)器都為讀密集型的操作進行專門的優(yōu)化。因此,當從LDAP服務(wù)器中讀取數(shù)據(jù)的時候會比從關(guān)系型數(shù)據(jù)庫中讀取數(shù)據(jù)快一個數(shù)量級。也是因為專門為讀的性能進行優(yōu)化,大多數(shù)的LDAP目錄服務(wù)器并不適合存儲需要經(jīng)常改變的數(shù)據(jù)。對于學(xué)員組織結(jié)構(gòu)這樣需要經(jīng)常查詢,但是很少修改的信息,非常適合存儲在LDAP目錄中。

LDAP允許根據(jù)需要使用ACL(訪問控制列表)來控制對數(shù)據(jù)的讀寫權(quán)限,指定不同的用戶可以擁有不同的操作權(quán)限,實現(xiàn)用戶信息的分級管理。

針對我校遠程教育網(wǎng)的情況,LDAP目錄用來存儲學(xué)院的學(xué)員信息,LDAP目錄可以根據(jù)學(xué)院的組織結(jié)構(gòu)來組織。LDAP目錄以學(xué)院為根目錄,以不同的系為下一級目錄,如果有需要,每個系可形成再下一級的目錄,最后的記錄項保存學(xué)員的相關(guān)信息。同時,通過使用LDAP的ACL,允許學(xué)院的管理員對所有用戶信息有讀寫權(quán)限,而系管理員只對本系的用戶信息有完全的讀寫權(quán)限。

采用LDAP目錄來存儲用戶信息,可以根據(jù)學(xué)院組織結(jié)構(gòu)來組織用戶,方便地實現(xiàn)用戶的分級管理,減少管理員的工作量。當用戶通過VPN客戶端請求連接到安全網(wǎng)關(guān)時,先以SSL方式連接到SGW25C安全網(wǎng)關(guān),并上傳“帳戶名和密碼”,安全網(wǎng)關(guān)從LDAP服務(wù)器獲取用戶的相關(guān)信息,并校驗用戶身份。如果用戶身份校驗通過,安全客戶端將和安全網(wǎng)關(guān)通過IKE協(xié)商建立VPN隧道,通過隧道訪問內(nèi)網(wǎng)應(yīng)用服務(wù)器。LDAP服務(wù)器由應(yīng)用系統(tǒng)管理員進行管理。

四 結(jié)束語

遠程教育平臺的發(fā)展日新月異,新技術(shù)在遠程教育中的應(yīng)用更是層出不窮,如何選擇最佳的技術(shù)和開發(fā)方案,并遵循合理的開發(fā)規(guī)范來設(shè)計現(xiàn)代遠程教育平臺,一直是業(yè)界研究的熱點。VPN具有較高的安全性,良好的擴展性,靈活的控制策略,強大的管理功能等優(yōu)勢,隨著技術(shù)的進一步發(fā)展,VPN還能夠提供QoS服務(wù)質(zhì)量保證,支持各種多媒體業(yè)務(wù),因此,VPN在遠程教育中將會得到更廣泛的應(yīng)用[9]。

――――――――

參考文獻

[1] 姜慶.MPLSVPN在現(xiàn)代遠程教育中的應(yīng)用[J].軟件導(dǎo)刊(教育技術(shù)),2008,(7):62-64.

[2] 高海英等.VPN技術(shù)[M].北京:機械工業(yè)出版社.2004.

[3] 肖曉梅.利用VPN實現(xiàn)高校校園網(wǎng)的遠程訪問[J].中國教育信息化,2008,(9):34-35.

[4] 梁炳超.VPN技術(shù)在高校圖書館遠程訪問中的應(yīng)用[J].現(xiàn)代情報,2008,(4):82-84.

[5] 劉衛(wèi)國.VPN技術(shù)在高校圖書館的應(yīng)用[J].圖書館工作與研究,2007,(6):39-41.

[6] 朱偉珠.利用VPN技術(shù)實現(xiàn)高校圖書館資源共享[J].情報科學(xué),2007,(7):1058-1061.

[7] 王春海,張曉莉,田浩編著.VPN網(wǎng)絡(luò)組建案例實錄[J].北京:科學(xué)出版社,2008.

篇(3)

【關(guān)鍵詞】隧道技術(shù)，應(yīng)用，研究

中圖分類號：U45文獻標識碼： A

一、前言

由于網(wǎng)絡(luò)的發(fā)展和完善以及速度的不斷提高，越來越多的公司逐步進行運用隧道技能。大規(guī)模的組建VPN網(wǎng)絡(luò)已經(jīng)成為一種趨勢，這種技術(shù)越來越多地遭到用戶的廣泛重視。

二、VPN的隧道技術(shù)

VPN技術(shù)比較復(fù)雜，它涉及到通信技術(shù)、密碼技術(shù)和現(xiàn)代認證技術(shù)，是一項交叉科學(xué)。具體來講，目前VPN主要采用下列四項技術(shù)來保證其安全，這四項技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)、使用者與設(shè)備身份認證技術(shù)(Authentication)。隧道技術(shù)是VPN的基本技術(shù)，類似于點對點連接技術(shù)，它在公用網(wǎng)中建立一條數(shù)據(jù)通道(隧道)，讓數(shù)據(jù)包通過這條隧道傳輸。隧道技術(shù)的基本工作原理是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)作為負載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式之中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，取出負載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑被稱為“隧道”。

三、隧道技術(shù)

1、第二層隧道協(xié)議

第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。創(chuàng)建隧道的過程類似于在雙方之間建立會話；隧道的兩個端點必須同意創(chuàng)建隧道并協(xié)商隧道各種配置變量，如地址分配，加密或壓縮等參數(shù)。第二層隧道協(xié)議有L2F、PPTP、L2TP等。

（一）、點對點隧道協(xié)議(PPTP)

PPTP將PPP數(shù)據(jù)楨封裝在IP數(shù)據(jù)報內(nèi)通過IP網(wǎng)絡(luò)，如Internet傳送。PPTP還可用于專用局域網(wǎng)絡(luò)之間的連接。PPTP使用一個TCP連接對隧道進行維護，使用通用路由封裝(GRE)技術(shù)把數(shù)據(jù)封裝成PPP數(shù)據(jù)楨通過隧道傳送。可以對封裝PPP楨中的負載數(shù)據(jù)進行加密或壓縮。

（二）、第2層轉(zhuǎn)發(fā)(L2F)

L2F是Cisco公司提出的隧道技術(shù)，作為一種傳輸協(xié)議L2F支持撥號接入服務(wù)器將撥號數(shù)據(jù)流封裝在PPP楨內(nèi)通過廣域網(wǎng)鏈路傳送到L2F服務(wù)器(路由器)。L2F服務(wù)器把數(shù)據(jù)包解包之后重新注入(inject)網(wǎng)絡(luò)。與PPTP和L2TP不同，L2F沒有確定的客戶方。應(yīng)當注意L2F只在強制隧道中有效。

（三）、第2層隧道協(xié)議(L2TP)

L2TP結(jié)合了PPTP和L2F協(xié)議。設(shè)計者希望L2TP能夠綜合PPTP和L2F的優(yōu)勢。L2TP是一種網(wǎng)絡(luò)層協(xié)議，支持封裝的PPP楨在IP，X.25，楨中繼或ATM等的網(wǎng)絡(luò)上進行傳送。當使用IP作為L2TP的數(shù)據(jù)報傳輸協(xié)議時，可以使用L2TP作為Internet網(wǎng)絡(luò)上的隧道協(xié)議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。

2、第三層隧道協(xié)議

IPSec是指IETF(因特網(wǎng)工程任務(wù)組)以RFC形式公布的一組安全IP協(xié)議集，是為IP及其以上協(xié)議(TCP和UDP等)提供安全保護的安全協(xié)議標準。其目標是把安全機制引入IP協(xié)議，通過使用密碼學(xué)方法支持機密性和認證服務(wù)等安全服務(wù)。IPSec通過在IP協(xié)議中增加兩個基于密碼的安全機制―認證頭(AH)和封裝安全載荷(ESP)來支持IP數(shù)據(jù)報的認證、完整性和機密性。IPSec協(xié)議族包括:IP安全架構(gòu)、認證頭AH、封閉安全載荷ESP和Internet密鑰交換(IKE)等協(xié)議。IP安全架構(gòu)協(xié)議指定了IPSec的整個框架，是IP層安全的標準協(xié)議。AH協(xié)議定義了數(shù)據(jù)源認證和完整性驗證的應(yīng)用方法。ESP為IP數(shù)據(jù)報文提供數(shù)據(jù)源驗證、數(shù)據(jù)完整性校驗、抗重播和數(shù)據(jù)加密服務(wù)。IKE為AH和ESP提供密鑰交換機制，在實際進行IP通信

時，可以根據(jù)實際安全需求，同時使用AH和ESP協(xié)議，或選擇使用其中的一種。

3、新興的隧道協(xié)議

SSL是Netscape公司設(shè)計的主要用于web的安全傳輸協(xié)議。SSL被設(shè)計為使TCP提供一個可靠的端到端的安全服務(wù)，它不是一個單一的協(xié)議，而是由多個協(xié)議組成記錄協(xié)議定義了要傳輸數(shù)據(jù)的格式，它位于可靠的傳輸協(xié)議TCP之上，用于各種更高層協(xié)議的封裝。記錄協(xié)議主要完成分組和組合，壓縮和解壓縮，以及消息認證和加密等功能。所有傳輸數(shù)據(jù)包括握手消息和應(yīng)用數(shù)據(jù)都被封裝在記錄中。握手協(xié)議允許服務(wù)器與客戶機在應(yīng)用程序傳輸和接收數(shù)據(jù)之前互相認證、協(xié)商加密算法和密鑰。通信雙方首先通過SSL握手協(xié)議建立客戶端與服務(wù)器之間的安全通道，SSL記錄協(xié)議通過分段、壓縮、添加MAC以及加密等操作步驟把應(yīng)用數(shù)據(jù)封裝成多條記錄，最后再進行傳輸。

四、隧道技術(shù)的應(yīng)用模型

1、端到端安全應(yīng)用

IPSec存在于一個主機或終端系統(tǒng)時，每一個離開和進入的PI數(shù)據(jù)包都可得到安全保護。PI包的安全保護可以從數(shù)據(jù)源一直到數(shù)據(jù)被接收。制定相應(yīng)的安全策略，一對獨立的SA可以保護兩個端點之間的全部通信―Tenlet、SMTP、WEB和FTP等。或者，根據(jù)兩個端點之間通信的協(xié)議的不同(TCP和UDP)和端口的不同，分別用不同的SA保護兩個端點之間的不同的通信。在這種模式下，通信的端點同時也是PISec的端點。所以，端到端安全可以在傳送模式下，

利用PISec來完成；也可以在隧道模式下，利用額外IP頭的新增來提供端到端的安全保護。

2、虛擬專用網(wǎng)

IPSec存在于路山器等網(wǎng)絡(luò)互連設(shè)備時，司一以構(gòu)建虛擬專用網(wǎng)VPN。VPN是“虛擬的”，因為它不是一個物理的、明顯存在的網(wǎng)絡(luò)。兩個不同的物理網(wǎng)絡(luò)通過一條穿越公共網(wǎng)絡(luò)的安全隧道連接起來，形成一個新的網(wǎng)絡(luò)VPN。VPN是“專川的”，因為被加密的隧道可以提供數(shù)據(jù)的機密性。而今，人們從傳統(tǒng)的專線網(wǎng)絡(luò)轉(zhuǎn)移到利用公共網(wǎng)絡(luò)的網(wǎng)絡(luò)，逐漸意識到節(jié)省費用的VPN重耍性。通過在路山器上配置PISec，就可以構(gòu)建一個VPN。在路山器的一端，連接著一個受保護的私有網(wǎng)絡(luò)，對這個網(wǎng)絡(luò)的訪問要受到嚴格的擰制。在另一端連技的是一個不安全的網(wǎng)絡(luò)帳Internet。在兩個路山器之間的公共網(wǎng)絡(luò)上建立一條安全隧道，通信就可以從一個受保護的本地子網(wǎng)安全地傳送到另一個受保護的遠程子網(wǎng)。這就是VPN，在VPN中，母一個具有IPSec的路由器都是一個網(wǎng)絡(luò)聚合點。在兩個PISec的路山器之間通常使用隧道模式，可以采用多種安全策略，建立一對或多對SA，試圖對VPN進布J屯通信分析將是非常困難的。如果在一個本地私有網(wǎng)絡(luò)中的數(shù)據(jù)包的目的地是VPN的遠程網(wǎng)絡(luò)―它是從一個路由器發(fā)送到另一個路山器的、加密的數(shù)據(jù)包。

3、移動IP

在端到端安IP全中，數(shù)據(jù)包由產(chǎn)生和l或接收通信的那個主機進行加密和解密.在VPN中，

網(wǎng)絡(luò)中的一個路由器對一個受安全保護的網(wǎng)絡(luò)中的主機(或多個)的數(shù)據(jù)包進行加密和解密。這兩個組合一般稱為移動IP。移動IP一般是獨立的，它要求計問受安全保護的網(wǎng)絡(luò)，它是一個移動的客戶，不停留在某個固定的地方。他必須通過旅店、或任何一個可以進行internetPOP的地方，安全地訪問公司資源。在移動IP的方案中，移動主機和路由器都支持PISec，它們之間可以建立一條安個隧道。它們能夠在外出數(shù)據(jù)包抵達通信線路之前對它進行安全保護:能夠在對進入包進行IP處理之前，驗證它們的安全保護。具有PISec的路山器保護的是移動主機想要訪問的那個網(wǎng)絡(luò)，它也可以是支持V戶N的路山器，允許其它的移動主機進行安全的遠程訪問。在這種方案中，一方是移動主機，它既是通信方。另一方將PISec當作一項服務(wù)提供給另一個網(wǎng)絡(luò)實體。

4、嵌套式隧道

有時，需要支持多級網(wǎng)絡(luò)安全保護。比如下面一個例子:一個企業(yè)有一個安全網(wǎng)關(guān)，以防止其網(wǎng)絡(luò)受到競爭者或黑客的侵犯和攻擊，而企業(yè)內(nèi)部另有一個安全網(wǎng)關(guān)，防止某些內(nèi)部員工進入敏感的子網(wǎng)。比如銀行系統(tǒng)的企業(yè)網(wǎng)。這種情況下，如果某人希望對網(wǎng)絡(luò)內(nèi)部的保護子網(wǎng)進行訪問，就必須使用嵌套式隧道。

5、鏈式隧道

一種常見的網(wǎng)絡(luò)安全配置是Hub-and-spoke。從一個網(wǎng)絡(luò)橫過Hub-and-spoke網(wǎng)絡(luò)，到達另一個網(wǎng)絡(luò)的數(shù)據(jù)包都由一個安全網(wǎng)關(guān)加密，由中心路由器解密，再加密，并由保護遠程網(wǎng)絡(luò)的另一個安全網(wǎng)關(guān)解密。

6、隧道交換模型

如果從交換的角度來看，它也可以稱為隧道交換模型。在中心路由器所連接的四個網(wǎng)絡(luò)可以是不同類型的網(wǎng)絡(luò)，隧道的實現(xiàn)方式也可以不同，但是，不同網(wǎng)絡(luò)的兩個節(jié)點在進行數(shù)據(jù)傳輸時，并不關(guān)心隧道的實現(xiàn)媒體，隧道可以接力的方式進行數(shù)據(jù)的傳遞。從安全的角度，假設(shè)每一個隧道是安全的，且中心路由器也是安全的，那么任何兩個節(jié)點之間的通信也應(yīng)該是安全的。假設(shè)隧道間彼此不能信任，那么可以只將隧道的連接看作是一條數(shù)據(jù)的傳輸通道，再使用前面所論述的隧道模型實現(xiàn)安全保護，如點到點的隧道安全模式。

五、結(jié)束語

由于Internet基礎(chǔ)設(shè)施的完善，隧道技能必將將在網(wǎng)建等各范疇，發(fā)揮著越來越重要的效果。實現(xiàn)隧道技能的多種多樣，它們各有各的優(yōu)勢，如今，市場上大多數(shù)都在使用VPN這類技能。

參考文獻

[1]毛小兵，VPN演進之隧道交換.《計算機世界》2000

[2]沈鑫剡.IP交換網(wǎng)原理、技術(shù)及實現(xiàn)[M].北京:人民郵電出版社，2003.

篇(4)

本文結(jié)合工作實際的維護工作介紹防火墻技術(shù)的部分應(yīng)用，對如何保護各類網(wǎng)絡(luò)和應(yīng)用的安全，如何保護信息安全成為了本文探討的重點。

關(guān)鍵詞：bss網(wǎng)、mss網(wǎng)、防火墻

正文

1、 防火墻 簡介

通過防火墻的運用，將那些危險的連接和攻擊行為隔絕在外。從而降低網(wǎng)絡(luò)的整體風險。。

1.1防火墻功能

防火墻的基本功能是對網(wǎng)絡(luò)通信進行篩選屏蔽以防止未授權(quán)的訪問進出計算

機網(wǎng)絡(luò)，簡單的概括就是，對網(wǎng)絡(luò)進行訪問控制。

防火墻是一種計算機硬件和軟件的結(jié)合，使不同網(wǎng)絡(luò)之間建立起一個安全網(wǎng)關(guān)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問政策、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。

1.2防火墻基本原理

防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)

2、 防火墻種類

從實現(xiàn)原理上分，防火墻的技術(shù)包括四大類：網(wǎng)絡(luò)級防火墻（也叫包過濾

型防火墻）、應(yīng)用級網(wǎng)關(guān)、電路級網(wǎng)關(guān)和規(guī)則檢查防火墻。

2.1網(wǎng)絡(luò)級防火墻

一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個IP包的端口來作出通過與否的判斷。

2.2應(yīng)用級網(wǎng)關(guān)

應(yīng)用級網(wǎng)關(guān)能夠檢查進出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機與不受信任的主機間直接建立聯(lián)系。

2.3電路級網(wǎng)關(guān)

電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機間的TCP握手信息,這樣來決定該會話（Session）是否合法,電路級網(wǎng)關(guān)是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。電路級網(wǎng)關(guān)還提供一個重要的安全功能：服務(wù)器（Proxy Server）。

2.4規(guī)則檢查防火墻

該防火墻結(jié)合了包過濾防火墻、電路級網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)的特點。

3、防火墻實際應(yīng)用

在實際工作中，按照承載業(yè)務(wù)的不同，某運營商的網(wǎng)絡(luò)大致可以分為兩類。

一是BSS網(wǎng)絡(luò)，用于承載運營商的計費業(yè)務(wù)；二是MSS網(wǎng)絡(luò)，用于滿足日常辦公的需要；

3.1 網(wǎng)絡(luò)結(jié)構(gòu)

3.2網(wǎng)絡(luò)說明

如圖3-1所示，BSS網(wǎng)絡(luò)承載主用IP承載網(wǎng)，一條ATM可以承載辦公網(wǎng)，N*2M電路作為MSS網(wǎng)絡(luò)備用電路，達到了熱備和擴容的目的。而且出口的擁塞不會影響MSS網(wǎng)絡(luò)的使用，保證日常辦公正常。

3.3安全域的劃分

安全域的劃分根據(jù)設(shè)備的用途、存儲數(shù)據(jù)的重要性等因素，分為五個層級。從0-4安全等級依次遞減。劃分設(shè)備安全等級的原則包括以下幾個要點：

存儲私密數(shù)據(jù)，除系統(tǒng)工程師外不允許其他人隨意訪問的設(shè)備安全等級最高；

需要存取數(shù)據(jù)，又要提供對外接口的設(shè)備，安全等級次之；

有互聯(lián)網(wǎng)出口的網(wǎng)絡(luò)安全等級更低，如：辦公網(wǎng)設(shè)備；

公網(wǎng)或VPN接入的設(shè)備可信度最低，所以安全等級最低。

3.4核心安全區(qū)域劃分

3.4.1 核心安全網(wǎng)絡(luò)圖3-3

3.4.2

如圖3-3所示，以兩對防火墻作為分割線。PIX525以內(nèi)的主機屬于第0級；PIX525和NetScreen 500F之間的主機屬于第1級；NetScreen 500F以外BSS網(wǎng)絡(luò)設(shè)備，沒有互聯(lián)網(wǎng)出口，屬于第2級；辦公網(wǎng)設(shè)備屬于第3級；通過互聯(lián)網(wǎng)由VPN接入的設(shè)備等級最低，統(tǒng)一歸屬于第4安全等級。

以兩對防火墻作為分割線。PIX525以內(nèi)的主機屬于第0級；PIX525和NetScreen 500F之間的主機屬于第1級；NetScreen 500F以外BSS網(wǎng)絡(luò)設(shè)備，沒有互聯(lián)網(wǎng)出口，屬于第2級；辦公網(wǎng)設(shè)備屬于第3級；通過互聯(lián)網(wǎng)由VPN接入的設(shè)備等級最低，統(tǒng)一歸屬于第4安全等級。

3.5地市網(wǎng)絡(luò)安全域的劃分

地市網(wǎng)絡(luò)可以分為兩級，純生產(chǎn)終端劃入高安全區(qū)域，辦公終端劃入低安全區(qū)域，中間增加安全隔離設(shè)備。注意到這里BSS網(wǎng)絡(luò)和MSS網(wǎng)絡(luò)的概念已經(jīng)被淡化了，我們只是根據(jù)重要程度的不同把所有設(shè)備置入了不同的安全區(qū)域里，再根據(jù)業(yè)務(wù)需要定制訪問控制列表。

3.6訪問控制列表

參照圖3-3所示，我們把最重要的設(shè)備至于0級，并為其分配獨立的IP地址空間。在安全設(shè)備上啟用NAT功能（地址映射），對1-4級設(shè)備隱藏其真實地址，即0級設(shè)備從表象上看是不存在的。并制訂嚴格的訪問策略，僅允許指定主機訪問特定主機的特定協(xié)議端口。默認拒絕一切網(wǎng)絡(luò)連接請求。

1級設(shè)備的訪問控制列表是雙向的，對內(nèi)允許特定服務(wù)器對特定主機數(shù)據(jù)庫端口的訪問；對外允許特定的客戶群訪問特定的協(xié)議端口。

2級設(shè)備是指重要性較低的生產(chǎn)設(shè)備。此級設(shè)備可根據(jù)業(yè)務(wù)需求設(shè)定訪問控制策略。

3-4級就是辦公終端了，因為其能與互聯(lián)網(wǎng)互通，或者通過互聯(lián)網(wǎng)接入，所以較易感染病毒或受到攻擊。一般僅開放最小的系統(tǒng)訪問權(quán)限，給預(yù)最為嚴格的認證，和路由控制。

為了更好的保護0-1級設(shè)備，我們在接口處設(shè)置了入侵檢測系統(tǒng)，并對進入0-1級區(qū)域的操作進行了審計。審計系統(tǒng)還可以關(guān)聯(lián)系統(tǒng)帳戶和訪問進程，限制合法的用戶只能通過合法的程序操作授權(quán)范圍內(nèi)的數(shù)據(jù)。

4、.部分配置

4.1限制客戶端物理位置和設(shè)備的功能（即要求軟件、硬件VPN產(chǎn)品在使用過程中只能是公司指定的地點、機器和人員）通過訪問控制列表來實現(xiàn)。

又比如通過MAC訪問列表，限制只有特定物理地址的主機才能接入：

4.2控制訪問時間的功能（包括按小時、按天的控制）

篇(5)

論文摘要：文章主要針對在電子商務(wù)應(yīng)用中所經(jīng)常使用到的幾種信息安全技術(shù)作了系統(tǒng)的闡述，分析了各種技術(shù)在應(yīng)用中的側(cè)重點，強調(diào)了在電子商務(wù)應(yīng)用中信息安全技術(shù)所具有的重要作用。

21世紀是知識經(jīng)濟時代，網(wǎng)絡(luò)化、信息化是現(xiàn)代社會的一個重要特征。隨著網(wǎng)絡(luò)的不斷普及，電子商務(wù)這種商務(wù)活動新模式已經(jīng)逐漸改變了人們的經(jīng)濟、工作和生活方式，可是，電子商務(wù)的安全問題依然是制約人們進行電子商務(wù)交易的最大問題，因此，安全問題是電子商務(wù)的核心問題，是實現(xiàn)和保證電子商務(wù)順利進行的關(guān)鍵所在。

信息安全技術(shù)在電子商務(wù)應(yīng)用中，最主要的是防止信息的完整性、保密性與可用性遭到破壞；主要使用到的有密碼技術(shù)、信息認證和訪問控制技術(shù)、防火墻技術(shù)等。

1密碼技術(shù)

密碼是信息安全的基礎(chǔ)，現(xiàn)代密碼學(xué)不僅用于解決信息的保密性，而且也用于解決信息的保密性、完整性和不可抵賴性等，密碼技術(shù)是保護信息傳輸?shù)淖钣行У氖侄巍Ｃ艽a技術(shù)分類有多種標準，若以密鑰為分類標準，可將密碼系統(tǒng)分為對稱密碼體制(私鑰密碼體制)和非對稱密碼體制(公鑰密碼體制)，他們的區(qū)別在于密鑰的類型不同。

在對稱密碼體制下，加密密鑰與解密密鑰是相同的密鑰在傳輸過程中需經(jīng)過安全的密鑰通道，由發(fā)送方傳輸?shù)浇邮辗健１容^著名的對稱密鑰系統(tǒng)有美國的DES，歐洲的IDEA，Et本的RC4，RC5等。在非對稱密碼體制下加密密鑰與解密密鑰不同，加密密鑰公開而解密密鑰保密，并且?guī)缀醪豢赡苡杉用苊荑€導(dǎo)出解密密鑰，也無須安全信道傳輸密鑰，只需利用本地密鑰的發(fā)生器產(chǎn)生解密密鑰。比較著名的公鑰密鑰系統(tǒng)有RSA密碼系統(tǒng)、橢圓曲線密碼系統(tǒng)ECC等。

數(shù)字簽名是一項專門的技術(shù)，也是實現(xiàn)電子交易安全的核心技術(shù)之一，在實現(xiàn)身份認證、數(shù)據(jù)完整性、不可抵賴性等方面有重要的作用。尤其在電子銀行、電子證券、電子商務(wù)等領(lǐng)域有重要的應(yīng)用價值。數(shù)字簽名的實現(xiàn)基礎(chǔ)是加密技術(shù)，它使用的是公鑰加密算法與散列函數(shù)一個數(shù)字簽名的方案一般有兩部分組成：數(shù)字簽名算法和驗證算法。數(shù)字簽名主要的功能是保證信息傳輸?shù)耐暾浴l(fā)送者身份的驗證、防止交易中抵賴的發(fā)生。

2信息認證和訪問控制技術(shù)

信息認證技術(shù)是網(wǎng)絡(luò)信息安全技術(shù)的一個重要方面，用于保證通信雙方的不可抵賴性和信息的完整性。在網(wǎng)絡(luò)銀行、電子商務(wù)應(yīng)用中，交易雙方應(yīng)當能夠確認是對方發(fā)送或接收了這些信息，同時接收方還能確認接收的信息是完整的，即在通信過程中沒有被修改或替換。

①基于私鑰密碼體制的認證。假設(shè)通信雙方為A和B。A，B共享的密鑰為KAB，M為A發(fā)送給B的信息。為防止信息M在傳輸信道被竊聽，A將M加密后再傳送，如圖1所示

由于KAB為用戶A和B的共享密鑰，所以用戶B可以確定信息M是由用戶A所發(fā)出的，這種方法可以對信息來源進行認證，它在認證的同時對信息M也進行了加密，但是缺點是不能提供信息完整性的鑒別。通過引入單向HASH函數(shù)，可以解決信息完整性的鑒別問題，如圖2所示

在圖2中，用戶A首先對信息M求HASH值H(M)，之后將H(M)加密成為m，然后將m。和M一起發(fā)送給B，用戶B通過解密ml并對附于信息M之后的HASH值進行比較，比較兩者是否一致。圖2給出的信息認證方案可以實現(xiàn)信息來源和完整性的認證。基于私鑰的信息認證的機制的優(yōu)點是速度較快，缺點是通信雙方A和B需要事先約定共享密鑰KAB。

②基于公鑰體制的信息認證。基于公鑰體制的信息認證技術(shù)主要利用數(shù)字簽名和哈希函數(shù)來實現(xiàn)。假設(shè)用戶A對信息M的HASH值H(M)的簽名為SA(dA，H(m)，其中dA為用戶A的私鑰)，用戶A將M／／SA發(fā)送給用戶B，用戶B通過A的公鑰在確認信息是否由A發(fā)出，并通過計算HSAH值來對信息M進行完整性鑒別。如果傳輸?shù)男畔⑿枰獔竺瑒t用戶A和B可通過密鑰分配中心獲得一個共享密鑰KAB，A將信息簽名和加密后再傳送給B，如圖3所示。由圖3可知，只有用戶A和B擁有共享密鑰KAB，B才能確信信息來源的可靠性和完整性。

訪問控制是通過一個參考監(jiān)視器來進行的，當用戶

對系統(tǒng)內(nèi)目標進行訪問時，參考監(jiān)視器邊查看授權(quán)數(shù)據(jù)庫，以確定準備進行操作的用戶是否確實得到了可進行此項操作的許可。而數(shù)據(jù)庫的授權(quán)則是一個安全管理器負責管理和維護的，管理器以阻止的安全策略為基準來設(shè)置這些授權(quán)。

③防火墻技術(shù)。防火墻是目前用得最廣泛的一種安全技術(shù)，是一種由計算機硬件和軟件的組合。它使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)，可以過濾進出網(wǎng)絡(luò)的數(shù)據(jù)包、管理進出網(wǎng)絡(luò)的訪問行為、對某些禁止的訪問行為、記錄通過防火墻的信息內(nèi)容和活動及對網(wǎng)絡(luò)攻擊進行檢測和告警等。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊，它限制外部對系統(tǒng)資源的非授權(quán)訪問，也限制內(nèi)部對外部的非授權(quán)訪問，同時還限制內(nèi)部系統(tǒng)之間，特別是安全級別低的系統(tǒng)對安全級別高的系統(tǒng)的非授權(quán)訪問，為電子商務(wù)的施展提供一個相對更安全的平臺，具體表現(xiàn)如下：

①防火墻可以強化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻身上。

②對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

③防止內(nèi)部信息的外泄。通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。

防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣臺主機的域名和IP地址就不會被外界所了解。

④網(wǎng)絡(luò)安全協(xié)議。網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)上所有設(shè)備之間通信規(guī)則的集合。在網(wǎng)絡(luò)的各層中存在著許多協(xié)議，網(wǎng)絡(luò)安全協(xié)議就是在協(xié)議中采用了加密技術(shù)、認證技術(shù)等保證信息安全交換的安全網(wǎng)絡(luò)協(xié)議。目前，Intemet上對七層網(wǎng)絡(luò)模型的每一層都已提出了相應(yīng)的加密協(xié)議，在所有的這些協(xié)議中，會話層的SSL和應(yīng)用層的SET與電子商務(wù)的應(yīng)用關(guān)系最為密切。

①ssL協(xié)議(SecureSocketsLayer)安全套接層協(xié)議。SSL使用對稱加密來保證通信保密性，使用消息認證碼(MAC)來保證數(shù)據(jù)完整性。SSL主要使用PKI在建立連接時對通信雙方進行身份認證。SSL協(xié)議主要是使用公開密鑰體制和X．509數(shù)字證書技術(shù)保護信息傳輸?shù)臋C密性和完整性。它主要適用于點對點之間的信息傳輸，提供基于客戶／服務(wù)器模式的安全標準，它在傳輸層和應(yīng)用層之間嵌入一個子層，在建立連接過程中采用公開密鑰，在會話過程中使用私人密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。

SSL安全協(xié)議是國際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議，至今仍然有很多網(wǎng)上商店使用。在傳統(tǒng)的郵購活動中，客戶首先尋找商品信息，然后匯款給商家，商家將商品寄給客戶。這里，商家是可以信賴的，所以客戶先付款給商家。在電子商務(wù)的開始階段，商家也是擔心客戶購買后不付款，或使用過期的信用卡，因而希望銀行給予認證。SSL安全協(xié)議正是在這種背景下產(chǎn)生的。所以，它運行的基點是商家對客戶信息保密的承諾。顯然，SSL協(xié)議無法完全協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。

②SET協(xié)議SecureElectronicTransaction)安全電子交易。為了克服SSL安全協(xié)議的缺點，實現(xiàn)更加完善的即時電子支付，SET協(xié)議應(yīng)運而生。

篇(6)

1 移動互聯(lián)網(wǎng)的安全現(xiàn)狀

自由開放的移動網(wǎng)絡(luò)帶來巨大信息量的同時，也給運營商帶來了業(yè)務(wù)運營成本的增加，給信息的監(jiān)管帶來了沉重的壓力。同時使用戶面臨著經(jīng)濟損失、隱私泄露的威脅和通信方面的障礙。移動互聯(lián)網(wǎng)由于智能終端的多樣性，用戶的上網(wǎng)模式和使用習(xí)慣與固網(wǎng)時代很不相同，使得移動網(wǎng)絡(luò)的安全跟傳統(tǒng)固網(wǎng)安全存在很大的差別，移動互聯(lián)網(wǎng)的安全威脅要遠甚于傳統(tǒng)的互聯(lián)網(wǎng)。

⑴移動互聯(lián)網(wǎng)業(yè)務(wù)豐富多樣，部分業(yè)務(wù)還可以由第三方的終端用戶直接運營，特別是移動互聯(lián)網(wǎng)引入了眾多手機銀行、移動辦公、移動定位和視頻監(jiān)控等業(yè)務(wù)，雖然豐富了手機應(yīng)用，同時也帶來更多安全隱患。應(yīng)用威脅包括非法訪問系統(tǒng)、非法訪問數(shù)據(jù)、拒絕服務(wù)攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露、內(nèi)容版權(quán)盜用和不合理的使用等問題。

⑵移動互聯(lián)網(wǎng)是扁平網(wǎng)絡(luò)，其核心是IP化，由于IP網(wǎng)絡(luò)本身存在安全漏洞，IP自身帶來的安全威脅也滲透到了移動專業(yè)提供論文寫作和寫作論文的服務(wù)，歡迎光臨dylw.net互聯(lián)網(wǎng)。在網(wǎng)絡(luò)層面，存在進行非法接入網(wǎng)絡(luò)，對數(shù)據(jù)進行機密性破壞、完整性破壞；進行拒絕服務(wù)攻擊，利用各種手段產(chǎn)生數(shù)據(jù)包造成網(wǎng)絡(luò)負荷過重等等，還可以利用嗅探工具、系統(tǒng)漏洞、程序漏洞等各種方式進行攻擊。

⑶隨著通信技術(shù)的進步，終端也越來越智能化，內(nèi)存和芯片處理能力也逐漸增強，終端上也出現(xiàn)了操作系統(tǒng)并逐步開放。隨著智能終端的出現(xiàn)，也給我們帶來了潛在的威脅：非法篡改信息，非法訪問，或者通過操作系統(tǒng)修改終端中存在的信息，產(chǎn)生病毒和惡意代碼進行破壞。

綜上所述，移動互聯(lián)網(wǎng)面臨來自三部分安全威脅：業(yè)務(wù)應(yīng)用的安全威脅、網(wǎng)絡(luò)的安全威脅和移動終端的安全威脅。

2 移動互聯(lián)網(wǎng)安全應(yīng)對策略

2010年1月工業(yè)和信息化部了《通信網(wǎng)絡(luò)安全防護管理辦法》第11號政府令，對網(wǎng)絡(luò)安全管理工作的規(guī)范化和制度化提出了明確的要求。客戶需求和政策導(dǎo)向成為了移動互聯(lián)網(wǎng)安全問題的新挑戰(zhàn)，運營商需要緊緊圍繞“業(yè)務(wù)”中心，全方位多層次地部署安全策略，并有針對性地進行安全加固，才能打造出綠色、安全、和諧的移動互聯(lián)網(wǎng)世界。

2.1 業(yè)務(wù)安全

移動互聯(lián)網(wǎng)業(yè)務(wù)可以分為3類：第一類是傳統(tǒng)互聯(lián)網(wǎng)業(yè)務(wù)在移動互聯(lián)網(wǎng)上的復(fù)制；第二類是移動通信業(yè)務(wù)在移動互聯(lián)網(wǎng)上的移植，第三類是移動通信網(wǎng)與互聯(lián)網(wǎng)相互結(jié)合，適配移動互聯(lián)網(wǎng)終端的創(chuàng)新業(yè)務(wù)。主要采用如下措施保證業(yè)務(wù)應(yīng)用安全：

⑴提升認證授權(quán)能力。業(yè)務(wù)系統(tǒng)應(yīng)可實現(xiàn)對業(yè)務(wù)資源的統(tǒng)一管理和權(quán)限分配，能夠?qū)崿F(xiàn)用戶賬號的分級管理和分級授權(quán)。針對業(yè)務(wù)安全要求較高的應(yīng)用，應(yīng)提供業(yè)務(wù)層的安全認證方式，如雙因素身份認證，通過動態(tài)口令和靜態(tài)口令結(jié)合等方式提升網(wǎng)絡(luò)資源的安全等級，防止機密數(shù)據(jù)、核心資源被非法訪問。

⑵健全安全審計能力。業(yè)務(wù)系統(tǒng)應(yīng)部署安全審計模塊，對相關(guān)業(yè)務(wù)管理、網(wǎng)絡(luò)傳輸、數(shù)據(jù)庫操作等處理行為進行分析和記錄，實施安全設(shè)計策略，并提供事后行為回放和多種審計統(tǒng)計報表。

⑶加強漏洞掃描能力。在業(yè)務(wù)系統(tǒng)中部署漏洞掃描和防病毒系統(tǒng)，定期對主機、服務(wù)器、操作系統(tǒng)、應(yīng)用控件進行漏洞掃描和安全評估，確保攔截來自各方的攻擊，保證業(yè)務(wù)系統(tǒng)可靠運行。

⑷增強對于新業(yè)務(wù)的檢查和控制，尤其是針對于“移動商店”這種運營模式，應(yīng)盡可能讓新業(yè)務(wù)與安全規(guī)劃同步，通過SDK和業(yè)務(wù)上線要求等將安全因素植入。

2.2 網(wǎng)絡(luò)安全

移動互聯(lián)網(wǎng)的網(wǎng)絡(luò)架構(gòu)包括兩部分：接入網(wǎng)和互聯(lián)網(wǎng)。前者即移動通信網(wǎng)，由終端設(shè)備、基站、移動通信網(wǎng)絡(luò)和網(wǎng)關(guān)組成；后者主要涉及路由器、交換機和接入服務(wù)器等設(shè)備以及相關(guān)鏈路。網(wǎng)絡(luò)安全也應(yīng)從以上兩方面考慮。

⑴接入網(wǎng)的網(wǎng)絡(luò)安全。移動互聯(lián)網(wǎng)的接入方式可分為移動通信網(wǎng)絡(luò)接入和Wi-Fi接入兩種。針對移動通信接入網(wǎng)安全，3G以及未來LTE技術(shù)的安全保護機制有比較全面的考慮，3G網(wǎng)絡(luò)的無線空口接入采用雙向認證鑒權(quán)，無線空口采用加強型加密機制，增加抵抗惡意攻擊的安全特性等機制，大大增強了移動互聯(lián)網(wǎng)的接入安全能力。針對Wi-Fi接入安全，Wi-Fi的標準化組織IEEE使用安全機制更完善的802.11i標準，用AES算法替專業(yè)提供論文寫作和寫作論文的服務(wù)，歡迎光臨dylw.net代了原來的RC4，提高了加密魯棒性，彌補了原有用戶認證協(xié)議的安全缺陷。針對需重點防護的用戶，可以采用VPDN、SSLVPN的方式構(gòu)建安全網(wǎng)絡(luò)，實現(xiàn)內(nèi)網(wǎng)的安全接入。

⑵承載網(wǎng)網(wǎng)絡(luò)及邊界網(wǎng)絡(luò)安全。1）實施分域安全管理，根據(jù)風險級別和業(yè)務(wù)差異劃分安全域，在不同的安全邊界，通過實施和部署不同的安全策略和安防系統(tǒng)來完成相應(yīng)的安全加固。移動互聯(lián)網(wǎng)的安全區(qū)域可分為Gi域、Gp域、Gn域、Om域等。2）在關(guān)鍵安全域內(nèi)部署人侵檢測和防御系統(tǒng)，監(jiān)視和記錄用戶出入網(wǎng)絡(luò)的相關(guān)操作，判別非法進入網(wǎng)絡(luò)和破壞系統(tǒng)運行的惡意行為，提供主動化的信息安全保障。在發(fā)現(xiàn)違規(guī)模式和未授權(quán)訪問等惡意操作時，系統(tǒng)會及時作出響應(yīng)，包括斷開網(wǎng)絡(luò)連接、記錄用戶標識和報警等。3）通過協(xié)議識別，做好流量監(jiān)測。依據(jù)控制策略控制流量，進行深度檢測識別配合連接模式識別，把客戶流量信息捆綁在安全防護系統(tǒng)上，進行數(shù)據(jù)篩選過濾之后把沒有病毒的信息再傳輸給用戶。攔截各種威脅流量，可以防止異常大流量沖擊導(dǎo)致網(wǎng)絡(luò)設(shè)備癱瘓。4）加強網(wǎng)絡(luò)和設(shè)備管理，在各網(wǎng)絡(luò)節(jié)點安裝防火墻和殺毒系統(tǒng)實現(xiàn)更嚴格的訪問控制，以防止非法侵人，針對關(guān)鍵設(shè)備和關(guān)鍵路由采用設(shè)置4A鑒權(quán)、ACL保護等加固措施。

2.3 終端安全

移動互聯(lián)網(wǎng)的終端安全包括傳統(tǒng)的終端防護手段、移動終端的保密管理、終端的準入控制等。

⑴加強移動智能終端進網(wǎng)管理。移動通信終端生產(chǎn)企業(yè)在申請入網(wǎng)許可時，要對預(yù)裝應(yīng)用軟件及提供者 進行說明，而且生產(chǎn)企業(yè)不得在移動終端中預(yù)置含有惡意代碼和未經(jīng)用戶同意擅自收集和修改用戶個人信息的軟件，也不得預(yù)置未經(jīng)用戶同意擅自調(diào)動終端通信功能、造成流量耗費、費用損失和信息泄露的軟件。

⑵不斷提高移動互聯(lián)網(wǎng)惡意程序的樣本捕獲和監(jiān)測處置能力，建設(shè)完善相關(guān)技術(shù)平臺。移動通信運營企業(yè)應(yīng)具備覆蓋本企業(yè)網(wǎng)內(nèi)的監(jiān)測處置能力。

⑶安裝安全客戶端軟件，屏蔽垃圾短信和騷擾電話，監(jiān)控異常流量。根據(jù)軟件提供的備份、刪除功能，將重要數(shù)據(jù)備份到遠程專用服務(wù)器，當用戶的手機丟失時可通過發(fā)送短信或其他手段遠程鎖定手機或者遠程刪除通信錄、手機內(nèi)存卡文件等資料，從而最大限度避免手機用戶的隱私泄露。

⑷借鑒目前定期PC操作系統(tǒng)漏洞的做法，由指定研究機構(gòu)跟蹤國內(nèi)外的智能終端操作系統(tǒng)漏洞信息，定期官方的智能終端漏洞信息，建設(shè)官方智能終端漏洞庫。向用戶宣傳智能終端安全相關(guān)知識，鼓勵安裝移動智能終端安全軟件，在終端廠商的指導(dǎo)下及時升級操作系統(tǒng)、進行安全配置。

3 從產(chǎn)業(yè)鏈角度保障移動互聯(lián)網(wǎng)安全

對于移動互聯(lián)網(wǎng)的安全保障，需要從整體產(chǎn)業(yè)鏈的角度來看待，需要立法機關(guān)、政府相關(guān)監(jiān)管部門、通信運營商、設(shè)備商、軟件提供商、系統(tǒng)集成商等價值鏈各方共同努力來實現(xiàn)。

⑴立法機關(guān)要緊跟移動互聯(lián)網(wǎng)的發(fā)展趨勢，加快立法調(diào)研工作，在基于實踐和借鑒他國優(yōu)秀經(jīng)驗的基礎(chǔ)上，盡快出臺國家層面的移動互聯(lián)網(wǎng)信息安全法律。在法律層面明確界定移動互聯(lián)網(wǎng)使用者、接入服務(wù)商、業(yè)務(wù)提供者、監(jiān)管者的權(quán)利和義務(wù)，明確規(guī)范信息數(shù)據(jù)的采集、保存和利用行為。同時，要加大執(zhí)法力度，嚴專業(yè)提供論文寫作和寫作論文的服務(wù)，歡迎光臨dylw.net厲打擊移動互聯(lián)網(wǎng)信息安全違法犯罪行為，保護這一新興產(chǎn)業(yè)持續(xù)健康發(fā)展。

⑵進一步加大移動互聯(lián)網(wǎng)信息安全監(jiān)管力度和處置力度。在國家層面建立一個強有力的移動互聯(lián)網(wǎng)監(jiān)管專門機構(gòu)，統(tǒng)籌規(guī)劃，綜合治理，形成“事前綜合防范、事中有效監(jiān)測、事后及時溯源”的綜合監(jiān)管和應(yīng)急處置工作體系；要在國家層面建立移動互聯(lián)網(wǎng)安全認證和準入制度，形成常態(tài)化的信息安全評估機制，進行統(tǒng)一規(guī)范的信息安全評估、審核和認證；要建立網(wǎng)絡(luò)運營商、終端生產(chǎn)商、應(yīng)用服務(wù)商的信息安全保證金制度，以經(jīng)濟手段促進其改善和彌補網(wǎng)絡(luò)運營模式、終端安全模式、業(yè)務(wù)應(yīng)用模式等存在的安全性漏洞。

⑶運營商、網(wǎng)絡(luò)安全供應(yīng)商、手機制造商等廠商，要從移動互聯(lián)網(wǎng)整體建設(shè)的各個層面出發(fā)，分析存在的各種安全風險，聯(lián)合建立一個科學(xué)的、全局的、可擴展的網(wǎng)絡(luò)安全體系和框架。綜合利用各種安全防護措施，保護各類軟硬件系統(tǒng)安全、數(shù)據(jù)安全和內(nèi)容安全，并對安全產(chǎn)品進行統(tǒng)一的管理，包括配置各相關(guān)安全產(chǎn)品的安全策略、維護相關(guān)安全產(chǎn)品的系統(tǒng)配置、檢查并調(diào)整相關(guān)安全產(chǎn)品的系統(tǒng)狀態(tài)等。建立安全應(yīng)急系統(tǒng)，做到防患于未然。移動互聯(lián)網(wǎng)的相關(guān)設(shè)備廠商要加強設(shè)備安全性能研究，利用集成防火墻或其他技術(shù)保障設(shè)備安全。

⑷內(nèi)容提供商要與運營商合作，為用戶提供加密級業(yè)務(wù)，并把好內(nèi)容安全之源，采用多種技術(shù)對不合法內(nèi)容和垃圾信息進行過濾。軟件提供商要根據(jù)用戶的需求變化，提供整合的安全技術(shù)產(chǎn)品，要提高軟件技術(shù)研發(fā)水平，由單一功能的產(chǎn)品防護向集中統(tǒng)一管理的產(chǎn)品類型過渡，不斷提高安全防御技術(shù)。

⑸普通用戶要提高安全防范意識和技能，加裝手機防護軟件并定期更新，對敏感數(shù)據(jù)采取防護隔離措施和相關(guān)備份策略，不訪問問題站點、不下載不健康內(nèi)容。

4 結(jié)束語

解決移動互聯(lián)網(wǎng)安全問題是一個復(fù)雜的系統(tǒng)工程，在不斷提高軟、硬件技術(shù)水平的同時，應(yīng)當加快互聯(lián)網(wǎng)相關(guān)標準、法規(guī)建設(shè)步伐，加大對互聯(lián)網(wǎng)運營監(jiān)管力度，全社會共同參與進行綜合防范，移動互聯(lián)網(wǎng)的安全才會有所保障。

[參考文獻]

篇(7)

關(guān)鍵詞：網(wǎng)絡(luò)；安全；技術(shù)；機制

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 19-0000-01

Analysis of Computer Network Security Technology and Mechanisms

Zhou Wanhong

(Panzhihua Iron and Steel Group,Panzhihua Steel and Vanadium Co.,Ltd.Department of Transportation,Panzhihua617000,China)

Abstract:With the development of computer networks,more in-depth computer applications,computer systems and network security issues become increasingly prominent and complex,this paper describes the current computer network security threats facing some of the key,and the current major network security technology to take some of the and mechanisms.

Keywords:Metwork;Security;Technology;Mechanism

一、網(wǎng)絡(luò)安全概述

隨著計算機網(wǎng)絡(luò)的發(fā)展，尤其是Internet的廣泛應(yīng)用，使得計算機的應(yīng)用更加廣泛深入，同時計算機系統(tǒng)和網(wǎng)絡(luò)的安全問題日益突出和復(fù)雜。一方面，網(wǎng)絡(luò)系統(tǒng)提供了資源的共享性；另一方面，也正因為這些特點，增加了網(wǎng)絡(luò)系統(tǒng)的脆弱性和網(wǎng)絡(luò)安全的復(fù)雜性，資源共享增加了網(wǎng)絡(luò)受威脅和攻擊的可能性。隨著資源共享的加強，網(wǎng)絡(luò)安全問題日益突出。

影響網(wǎng)絡(luò)安全的因素很多，這些因素可宏觀地分為人為因素和自然因素，重點是人為因素。主要的網(wǎng)絡(luò)安全威脅有以下幾種：（1）自然災(zāi)害、意外事故；（2）計算機犯罪；（3）人為失誤，如使用不當，安全意識差等；（4）“黑客”行為，由于黑客的入侵或侵擾，如非法訪問、非法連接等；（5）內(nèi)部與外部泄密；（6）信息丟失等等。

網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及其數(shù)據(jù)收到保護，不受偶然的或惡意的原因而遭到破壞、更改、泄漏，網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全內(nèi)容既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。

二、網(wǎng)絡(luò)安全技術(shù)

（一）防火墻技術(shù)

“防火墻”是一種由計算機硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān)，把互聯(lián)網(wǎng)和內(nèi)部網(wǎng)隔開，有效地控制互聯(lián)網(wǎng)對內(nèi)部網(wǎng)的訪問，阻擋外部網(wǎng)絡(luò)的侵入。

防火墻可分為：

1.包過濾防火墻：原理是將收到的包（即分組）與規(guī)則表進行匹配，對符合規(guī)則的數(shù)據(jù)包進行處理，不符合規(guī)則的就丟棄。這種技術(shù)既缺乏效率又容易產(chǎn)生安全漏洞。

2.狀態(tài)檢測防火墻：原理是將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，通過規(guī)則表與連接狀態(tài)的共同配合，大大提高了系統(tǒng)的傳輸效率和安全性。

（二）入侵檢測技術(shù)

入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測過程分為三部分：信息收集、信息分析、信息處理。

信息收集：由放置在不同網(wǎng)段的傳感器或不同主機的來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。

信息分析：收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，當檢測到某種誤用模式時，產(chǎn)生一個告警并發(fā)送給控制臺。

結(jié)果處理：控制臺按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施。

（三）漏洞檢測技術(shù)

漏洞檢測技術(shù)是對網(wǎng)絡(luò)系統(tǒng)進行檢查，發(fā)現(xiàn)其中存在的薄弱環(huán)節(jié)和所具有的攻擊性特征。通常采取兩種策略，被動式策略和主動式策略。被動式策略基于主機檢測，對系統(tǒng)中不合適的設(shè)置、口令以及其他同安全規(guī)則相背的對象進行檢查；主動式策略基于網(wǎng)絡(luò)檢測，通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。

（四）數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是指將一個信息經(jīng)過加密鑰匙及加密函數(shù)轉(zhuǎn)換，變成無意義的密文，而接收方則將此密文經(jīng)過解密函數(shù)、解密鑰匙還原成明文。是為了提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止數(shù)據(jù)被外部偵聽破析所采用的重要手段之一，是網(wǎng)絡(luò)安全技術(shù)的基石。

三、網(wǎng)絡(luò)安全機制

（一）加密機制

加密是提供數(shù)據(jù)保密的最常用方法。用加密的方法與其它技術(shù)相結(jié)合，可以提供數(shù)據(jù)的保密性和完整性。分為對稱加密機制和非對稱加密機制。

1.對稱加密機制：使用相同的秘鑰對數(shù)據(jù)進行加密和解密，發(fā)送者和接收者使用相同的密鑰。

2.非對稱加密機制：運用某種數(shù)學(xué)方法使得加密過程成為一個不可逆過程，即用公鑰加密的信息只能用與該公鑰配對的私鑰才能解密。特點是發(fā)送者和接收者使用不同密鑰。

（二）數(shù)據(jù)完整性機制

數(shù)據(jù)完整性包括兩種形式：一是數(shù)據(jù)單元的完整性，另一種是數(shù)據(jù)單元序列的完整性。數(shù)據(jù)單元完整性包括兩個過程，一個過程發(fā)生在發(fā)送實體，另一個過程發(fā)生在接收實體。保證數(shù)據(jù)完整性的一般方法是：發(fā)送實體在一個數(shù)據(jù)單元上加一個標記，這個標記是數(shù)據(jù)本身的函數(shù)，如一個分組校驗，或密碼校驗函數(shù)，它本身是經(jīng)過加密的。接收實體是一個對應(yīng)的標記，并將所產(chǎn)生的標記與接收的標記相比較，以確定在傳輸過程中數(shù)據(jù)是否被修改過。

數(shù)據(jù)單元序列的完整性要求數(shù)據(jù)標號的連續(xù)性和時間標記的正確性，以防止假冒、丟失、重發(fā)、插入或修改數(shù)據(jù)。

（三）業(yè)務(wù)流量填充機制

這種機制主要是對抗非法者在線路上監(jiān)聽數(shù)據(jù)并對其進行流量和流向分析。采用的方法一般由保密裝置在無信息傳輸時，連續(xù)發(fā)出偽隨機序列，使得非法者不知道哪些是有用信息，哪些是無用信息。

（四）路由控制機制

在一個大型網(wǎng)絡(luò)中，從源點到目的節(jié)點可能有多條線路，有些線路可能是安全的，而另一些線路是不安全的。路由控制機制可使發(fā)信者選擇特殊的路由，以保證數(shù)據(jù)安全。

參考文獻：

[1]飛思科技產(chǎn)品研發(fā)中心.縱橫四海――局域網(wǎng)組建與管理[M].北京:電子工業(yè)出版社,2002