安全是目的，防范是手段，通過(guò)防范的手段達(dá)到或?qū)崿F(xiàn)安全的目的，就是安全防范的基本內(nèi)涵。這是學(xué)習(xí)啦小篇為大家整理的安全防范技術(shù)論文，僅供參考!

　　網(wǎng)絡(luò)安全與防范技術(shù)篇一

　　摘 要

　　隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全日顯重要，本文從網(wǎng)絡(luò)不安全因素入手，探討了網(wǎng)絡(luò)安全防范 理論 技術(shù)、主流網(wǎng)絡(luò)常用的防火墻和入侵檢測(cè)技術(shù)。

　　關(guān)鍵詞 網(wǎng)絡(luò)安全、防火墻、入侵檢測(cè)系統(tǒng)

　　近年來(lái)， 計(jì)算 機(jī)網(wǎng)絡(luò)技術(shù)不斷 發(fā)展 ，網(wǎng)絡(luò) 應(yīng)用 逐漸普及。網(wǎng)絡(luò)已成為一個(gè)無(wú)處不在、無(wú)所不用的工具。越來(lái)越多的計(jì)算機(jī)用戶足不出戶則可訪問(wèn)到全球網(wǎng)絡(luò)系統(tǒng)豐富的信息資源， 經(jīng)濟(jì) 、文化、軍事和 社會(huì) 活動(dòng)也強(qiáng)烈依賴于網(wǎng)絡(luò)，一個(gè)網(wǎng)絡(luò)化的社會(huì)已呈現(xiàn)在我們面前。

　　然而，隨著網(wǎng)絡(luò)應(yīng)用的不斷增多，網(wǎng)絡(luò)安全 問(wèn)題 也越來(lái)越突出，由于計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素，致使計(jì)算機(jī)網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。為確保信息的安全與暢通， 研究 計(jì)算機(jī)網(wǎng)絡(luò)的安全與防范措施已迫在眉捷。本人結(jié)合實(shí)際經(jīng)驗(yàn)，談一談。

　　1 網(wǎng)絡(luò)不安全因素

　　網(wǎng)絡(luò)的安全因素主要有：

　　(1)網(wǎng)絡(luò)資源的共享性。資源共享是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的，但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞提供了機(jī)會(huì)。隨著聯(lián)網(wǎng)需求的日益增長(zhǎng)，外部服務(wù)請(qǐng)求不可能做到完全隔離，攻擊者利用服務(wù)請(qǐng)求的機(jī)會(huì)很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。

　　(2)網(wǎng)絡(luò)的開放性。網(wǎng)上的任何一個(gè)用戶很方便訪問(wèn)互聯(lián)網(wǎng)上的信息資源，從而很容易獲取到一個(gè) 企業(yè) 、單位以及個(gè)人的敏感性信息。

　　(3)網(wǎng)絡(luò)操作系統(tǒng)的漏洞。網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實(shí)現(xiàn)的最終載體之一，它不僅負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝，同時(shí)還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性，決定了操作系統(tǒng)必然存在各種實(shí)現(xiàn)過(guò)程所帶來(lái)的缺陷和漏洞。

　　(4)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷。網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來(lái)安全隱患。合理的網(wǎng)絡(luò)設(shè)計(jì)在節(jié)約資源的情況下，還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計(jì)則會(huì)成為網(wǎng)絡(luò)的安全威脅。

　　(5)惡意攻擊。就是人們常見(jiàn)的黑客攻擊及網(wǎng)絡(luò)病毒.是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦 教育 的大眾化，這類攻擊也是越來(lái)越多， 影響 越來(lái)越大。

　　2 網(wǎng)絡(luò)安全防御方式

　　網(wǎng)絡(luò)安全技術(shù)的主要代表是防火墻和入侵檢測(cè)技術(shù)。下面簡(jiǎn)要介紹一下這兩種技術(shù)。

　　2.1 防火墻技術(shù)

　　網(wǎng)絡(luò)安全所說(shuō)的防火墻是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪，用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點(diǎn)上。所有來(lái)自Internet(外部網(wǎng))的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過(guò)防火墻。

　　2.1.1 防火墻的主要功能

　　防火墻的主要功能包括：

　　(1)防火墻可以對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，從而過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。

　　(2)防火墻可以關(guān)閉不使用的端口，而且它還能禁止特定端口的輸出信息。

　　(3)防火墻可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而可以防止來(lái)自不明入侵者的所有通信，過(guò)濾掉不安全的服務(wù)和控制非法用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)。

　　(4)防火墻可以控制網(wǎng)絡(luò)內(nèi)部人員對(duì)Internet上特殊站點(diǎn)的訪問(wèn)。

　　(5)防火墻提供了監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。

　　2.1.2 防火墻的主要優(yōu)點(diǎn)

　　防火墻的主要優(yōu)點(diǎn)包括：

　　1)可作為網(wǎng)絡(luò)安全策略的焦點(diǎn)

　　防火墻可作為網(wǎng)絡(luò)通信的阻塞點(diǎn)。所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過(guò)防火墻。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來(lái)，將承擔(dān)風(fēng)險(xiǎn)的范圍從整個(gè)內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺(tái)或幾臺(tái)主機(jī)上。從而在結(jié)構(gòu)上形成了一個(gè)控制中心，極大地加強(qiáng)了網(wǎng)絡(luò)安全，并簡(jiǎn)化了網(wǎng)絡(luò)管理。

　　2)可以有效記錄網(wǎng)絡(luò)活動(dòng)

　　由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間，即所有傳輸?shù)男畔⒍紩?huì)穿過(guò)防火墻。所以，防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息，提供監(jiān)視、管理與審計(jì)網(wǎng)絡(luò)的使用和預(yù)警功能。

　　3)為解決IP地址危機(jī)提供了可行方案

　　由于Internet的日益發(fā)展及IP地址空間有限，使得用戶無(wú)法獲得足夠的注冊(cè)IP地址。防火墻則處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。

　　2.1.3 防火墻的主要缺陷

　　由于互聯(lián)網(wǎng)的開放性，防火墻也有一些弱點(diǎn)，使它不能完全保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有：

　　(1)防火墻對(duì)繞過(guò)它的攻擊行為無(wú)能為力。

　　(2)防火墻無(wú)法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對(duì)于病毒只能安裝反病毒軟件。

　　(3)防火墻需要有特殊的較為封閉的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來(lái)支持。網(wǎng)絡(luò)安全性的提高往往是以犧牲網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價(jià)。

　　2.1.4 防火墻的分類

　　防火墻的實(shí)現(xiàn)從層次上大體可分為三類：包過(guò)濾防火墻，代理防火墻和復(fù)合型防火墻。

　　1)包過(guò)濾防火墻

　　包過(guò)濾防火墻是在IP層實(shí)現(xiàn)，它可以只用路由器來(lái)實(shí)現(xiàn)。包過(guò)濾防火墻根據(jù)報(bào)文的源IP地址，目的IP地址、源端口、目的端口和報(bào)文傳遞方向等報(bào)頭信息來(lái)判斷是否允許有報(bào)文通過(guò)。

　　包過(guò)濾路由器的最大優(yōu)點(diǎn)是：對(duì)用戶來(lái)說(shuō)是透明的，即不需要用戶名和密碼來(lái)登陸。

　　包過(guò)濾路由器的弊端是明顯的，由于它通常沒(méi)有用戶的使用記錄，我們不能從訪問(wèn)中發(fā)現(xiàn)黑客的攻擊記錄。它還有一個(gè)致命的弱點(diǎn)，就是不能在用戶級(jí)別上進(jìn)行過(guò)濾，即不能識(shí)別用戶與防止IP地址的盜用。如果攻擊者將自己的主機(jī)設(shè)置為一個(gè)合法主機(jī)的IP地址，則很容易地通過(guò)包過(guò)濾防火墻。

　　2)代理防火墻

　　代理防火墻也叫 應(yīng)用 層網(wǎng)關(guān)防火墻，包過(guò)濾防火墻可以按照IP地址來(lái)禁止未授權(quán)者的訪問(wèn)。但它不適合單位用來(lái)控制內(nèi)部人員訪問(wèn)外部 網(wǎng)絡(luò) ，對(duì)于這樣的 企業(yè) ，應(yīng)用代理防火墻是更好的選擇。

　　代理服務(wù)是設(shè)置在Internet防火墻網(wǎng)關(guān)上的應(yīng)用，是在網(wǎng)管員允許下或拒絕的特定的應(yīng)用程序或者特定服務(wù)，一般情況下可應(yīng)用于特定的互聯(lián)網(wǎng)服務(wù)，如超文本傳輸、遠(yuǎn)程文件傳輸?shù)?。同時(shí)還可應(yīng)用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄和 報(bào)告等功能。

　　應(yīng)用層網(wǎng)關(guān)包括應(yīng)用代理服務(wù)器、回路級(jí)代理服務(wù)器、代管服務(wù)器、IP通道、網(wǎng)絡(luò)地址轉(zhuǎn)換器、隔離域名服務(wù)器和郵件技術(shù)等。

　　3)復(fù)合型防火墻

　　復(fù)合型防火墻是將數(shù)據(jù)包過(guò)濾和代理服務(wù)結(jié)合在一起使用，從而實(shí)現(xiàn)了網(wǎng)絡(luò)安全性、性能和透明度的優(yōu)勢(shì)互補(bǔ)。

　　隨著技術(shù)的 發(fā)展 ，防火墻產(chǎn)品還在不斷完善、發(fā)展。 目前 出現(xiàn)的新技術(shù)類型主要有以下幾種：狀態(tài)監(jiān)視技術(shù)、安全操作系統(tǒng)、自適應(yīng)代理技術(shù)、實(shí)時(shí)侵入檢測(cè)系統(tǒng)等?；旌鲜褂脭?shù)據(jù)包過(guò)濾技術(shù)、代理服務(wù)技術(shù)和一些新技術(shù)是未來(lái)防火墻的趨勢(shì)。

　　2.1.5 防火墻的部署

　　防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備，只有在關(guān)鍵網(wǎng)絡(luò)流量通過(guò)防火墻的時(shí)候，防火墻才能對(duì)此實(shí)行檢查，防護(hù)功能。

　　(1)防火墻的位置一般是內(nèi)網(wǎng)與外網(wǎng)的接合處，用來(lái)阻止來(lái)自外部網(wǎng)絡(luò)的入侵。

　　(2)如果內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置虛擬局域網(wǎng)(VLAN)，則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻。

　　(3)通過(guò)公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間應(yīng)該設(shè)置防火墻。

　　(4)主干交換機(jī)至服務(wù)器區(qū)域 工作組交換機(jī)的骨干鏈路上。

　　(5)遠(yuǎn)程撥號(hào)服務(wù)器與骨干交換機(jī)或路由器之間。

　　總之，在網(wǎng)絡(luò)拓?fù)渖?，防火墻?yīng)當(dāng)處在網(wǎng)絡(luò)的出口與不同安全等級(jí)區(qū)域的結(jié)合處。安裝防火墻的原則是：只要有惡意侵入的可能，無(wú)論是內(nèi)部網(wǎng)還是外部網(wǎng)的連接處都應(yīng)安裝防火墻。

　　2.2 入侵檢測(cè)技術(shù)

　　入侵檢測(cè)技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息(系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等)，并對(duì)這些信息進(jìn)行 分析 和判斷。通過(guò)檢測(cè)網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為，入侵檢測(cè)系統(tǒng)可以及時(shí)發(fā)現(xiàn)攻擊或異常行為并進(jìn)行阻斷、記錄、報(bào)警等響應(yīng)，從而將攻擊行為帶來(lái)的破壞和 影響 降至最低。同時(shí)，入侵檢測(cè)系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、 審計(jì)系統(tǒng)配置和漏洞、識(shí)別異常行為和攻擊行為(通過(guò)異常檢測(cè)和模式匹配等技術(shù))、對(duì)攻擊行為或異常行為進(jìn)行響應(yīng)、審計(jì)和跟蹤等。

　　典型的IDS系統(tǒng)模型包括4個(gè)功能部件：

　　(1) 事件產(chǎn)生器，提供事件記錄流的信息源。

　　(2) 事件分析器，這是發(fā)現(xiàn)入侵跡象的分析引擎。

　　(3) 響應(yīng)單元，這是基于分析引擎的分析結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件

　　(4) 事件數(shù)據(jù)庫(kù)，這是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。

　　2.2.1入侵檢測(cè)系統(tǒng)的分類

　　入侵檢測(cè)系統(tǒng)根據(jù)數(shù)據(jù)來(lái)源不同，可分為基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)。

　　網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)方式是將某臺(tái)主機(jī)的網(wǎng)卡設(shè)置成混雜模式，監(jiān)聽(tīng)本網(wǎng)段內(nèi)的所有數(shù)據(jù)包并進(jìn)行判斷或直接在路由設(shè)備上放置入侵檢測(cè)模塊。一般來(lái)說(shuō)，網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)絡(luò)的任務(wù)。

　　主機(jī)型入侵檢測(cè)系統(tǒng)是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過(guò)其它手段(如檢測(cè)系統(tǒng)調(diào)用)從所有的主機(jī)上收集信息進(jìn)行分析。

　　入侵檢測(cè)系統(tǒng)根據(jù)檢測(cè)的 方法 不同可分為兩大類：異常和誤用。

　　異常入侵檢測(cè)根據(jù)用戶的異常行為或?qū)Y源的異常存放來(lái)判斷是否發(fā)生了入侵事件。

　　誤用入侵檢測(cè)通過(guò)檢查對(duì)照已有的攻擊特征、定義攻擊模式、比較用戶的活動(dòng)來(lái)了解入侵。例如，著名的Internet蠕蟲事件是利用fingerd(FreeBSD)上的守護(hù)進(jìn)程，允許用戶遠(yuǎn)程讀取文件系統(tǒng)，因而存在可以查看文件 內(nèi)容 的漏洞和Sendmail(Linux上的守護(hù)進(jìn)程，利用其漏洞可取得root權(quán)限)的漏洞進(jìn)行攻擊。對(duì)這種攻擊可以使用這種檢測(cè)方法。

　　2.2.2 目前入侵檢測(cè)系統(tǒng)的缺陷

　　入侵檢測(cè)系統(tǒng)作為網(wǎng)絡(luò)安全防護(hù)的重要手段，目前的IDS還存在很多 問(wèn)題 ，有待于我們進(jìn)一步完善。

　　1) 高誤報(bào)率

　　誤報(bào)率主要存在于兩個(gè)方面：一方面是指正常請(qǐng)求誤認(rèn)為入侵行為;另一方面是指對(duì)IDS用戶不關(guān)心事件的報(bào)警。導(dǎo)致IDS產(chǎn)品高誤報(bào)率的原因是IDS檢測(cè)精度過(guò)低和用戶對(duì)誤報(bào)概念的不確定。

　　2) 缺乏主動(dòng)防御功能

　　入侵檢測(cè)技術(shù)作為一種被動(dòng)且功能有限的安全防御技術(shù)，缺乏主動(dòng)防御功能。因此，需要在一代IDS產(chǎn)品中加入主動(dòng)防御功能，才能變被動(dòng)為主動(dòng)。

　　2.2.3 防火墻與入侵檢測(cè)系統(tǒng)的相互聯(lián)動(dòng)

　　綜合所述：防火墻是一個(gè)跨接多個(gè)物理網(wǎng)段的網(wǎng)絡(luò)安全關(guān)口設(shè)備。它可以對(duì)所有流經(jīng)它的流量進(jìn)行各種各樣最直接的操作處理，如無(wú)通告拒絕、ICMP拒絕、轉(zhuǎn)發(fā)通過(guò)(可轉(zhuǎn)發(fā)至任何端口)、各以報(bào)頭檢查修改、各層報(bào)文內(nèi)容檢查修改、鏈路帶寬資源 管理、流量 統(tǒng)計(jì)、訪問(wèn)日志、協(xié)議轉(zhuǎn)換等。

　　當(dāng)我們實(shí)現(xiàn)防火墻與入侵檢測(cè)系統(tǒng)的相互聯(lián)動(dòng)后，IDS就不必為它所連接的鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量。因此，IDS可以將大部分的系統(tǒng)資源用于對(duì)采集報(bào)文的分析，而這正是IDS最眩目的亮點(diǎn)。IDS可以有足夠的時(shí)間和資源做些有效的防御工作，如入侵活動(dòng)報(bào)警、不同業(yè)務(wù)類別的網(wǎng)絡(luò)流量統(tǒng)計(jì)、網(wǎng)絡(luò)多種流量協(xié)議恢復(fù)(實(shí)時(shí)監(jiān)控功能)等。IDS高智能的數(shù)據(jù)分析技術(shù)、詳盡的入侵知識(shí)描述庫(kù)可以提供比防火墻更為準(zhǔn)確、更嚴(yán)格、更全面的訪問(wèn)行為審查功能。

　　綜上所述，防火墻與IDS在功能上可以形成互補(bǔ)關(guān)系。這樣的組合較以前單一的動(dòng)態(tài)技術(shù)或靜態(tài)技術(shù)都有了較大的提高。使網(wǎng)絡(luò)的防御安全能力大大提高。防火墻與IDS的相互聯(lián)動(dòng)可以很好地發(fā)揮兩者的優(yōu)點(diǎn)，淡化各自的缺陷，使防御系統(tǒng)成為一個(gè)更加堅(jiān)固的圍墻。在未來(lái)的網(wǎng)絡(luò)安全領(lǐng)域中，動(dòng)態(tài)技術(shù)與靜態(tài)技術(shù)的聯(lián)動(dòng)將有很大的發(fā)展市場(chǎng)和空間。

　　3 結(jié)語(yǔ)

　　網(wǎng)絡(luò)安全是一個(gè)很大的系統(tǒng)工程，除了防火墻和入侵檢測(cè)系統(tǒng)之外，還包括反病毒技術(shù)和加密技術(shù)。反病毒技術(shù)是查找和清除 計(jì)算 機(jī)病毒技術(shù)。其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎。然后根據(jù)病毒特征碼數(shù)據(jù)庫(kù)來(lái)進(jìn)行對(duì)比式查殺。加密技術(shù)主要是隱藏信息、防止對(duì)信息篡改或防止非法使用信息而轉(zhuǎn)換數(shù)據(jù)的功能或方法。它是將數(shù)據(jù)信息轉(zhuǎn)換為一種不易解讀的模式來(lái)保護(hù)信息，除非有解密密鑰才能閱讀信息。加密技術(shù)包括算法和密鑰。算法是將普通的文本(或是可以理解的信息)與一串?dāng)?shù)字(密鑰)的結(jié)合，產(chǎn)生不可理解的密文的步驟。密鑰是用來(lái)對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。在安全保密中，可通過(guò)適當(dāng)?shù)拿荑€加密技術(shù)和管理機(jī)制來(lái)保證網(wǎng)絡(luò)的信息通信安全。

　　參考 文獻(xiàn)

　　[1] 鄭成興著. 《網(wǎng)絡(luò)入侵防范的 理論 與 實(shí)踐》. 機(jī)械 工業(yè) 出版社

　　[2] [美] Merike Kaeo 著.《網(wǎng)絡(luò)安全性設(shè)計(jì)》. 人民郵電出版社

　　網(wǎng)絡(luò)安全防范技術(shù)研究篇二　　

　　摘要：敘述了計(jì)算機(jī)網(wǎng)絡(luò)安全的因素以及針對(duì)這些威脅因素應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)安全的防范技術(shù)，以便更好地實(shí)踐應(yīng)用網(wǎng)絡(luò)安全防范技術(shù)，讓人們?cè)谏詈凸ぷ鲿r(shí)能夠放心地暢游計(jì)算機(jī)網(wǎng)絡(luò)世界。

　　關(guān)鍵詞：計(jì)算機(jī);網(wǎng)絡(luò)安全;防范技術(shù)

　　中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672�7800(2011)012�0143�02

　　作者簡(jiǎn)介：羅瑩(1979-)，女，江西萬(wàn)載人，碩士，宜春學(xué)院數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院講師，研究方向?yàn)橛?jì)算機(jī)科學(xué)。1威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的因素

　　計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅因素有多種方面，計(jì)算機(jī)是人在使用，在使用時(shí)自然會(huì)有無(wú)意的失誤，惡意的攻擊計(jì)算機(jī)存在的諸多漏洞等，歸納起來(lái)有以下幾種。

　　1.1網(wǎng)頁(yè)瀏覽器存在安全漏洞

　　我們上網(wǎng)所用的WEB服務(wù)器和網(wǎng)頁(yè)瀏覽器存在安全漏洞。開始時(shí)開發(fā)人員引用CGI程序是要使網(wǎng)頁(yè)活動(dòng)起來(lái)，但多數(shù)人員對(duì)CGI這一程序并不是很了解，而且編程時(shí)也只是對(duì)其進(jìn)行適當(dāng)修改，但網(wǎng)頁(yè)瀏覽器的核心部分仍然是相同的，所以可以說(shuō)網(wǎng)頁(yè)瀏覽器有著類似的安全漏洞。因此在人們上網(wǎng)應(yīng)用瀏覽器時(shí)，實(shí)際上是處于具有安全隱患的環(huán)境中，一旦進(jìn)入網(wǎng)絡(luò)世界，就有被攻擊的可能。

　　1.2防火墻軟件的安全配置不當(dāng)

　　計(jì)算機(jī)系統(tǒng)安裝的防火墻如果配置不當(dāng)，即使使用者安裝了，但仍然是沒(méi)有起到任何的防范作用的。網(wǎng)絡(luò)入侵的最終目的是要取得使用者在計(jì)算機(jī)系統(tǒng)中的訪問(wèn)權(quán)限、存儲(chǔ)權(quán)限甚至是寫權(quán)限，以便能夠惡意破壞此系統(tǒng)，造成數(shù)據(jù)丟失被盜或系統(tǒng)崩潰，或者以此為跳板，方便進(jìn)入其他計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。在計(jì)算機(jī)連接入網(wǎng)時(shí)，啟動(dòng)了一些網(wǎng)絡(luò)應(yīng)用程序后，實(shí)際上也打開了一條安全缺口，這時(shí)，除非使用者禁止啟動(dòng)此程序或?qū)Π踩渲眠M(jìn)行正確配置，否則計(jì)算機(jī)系統(tǒng)始終存在安全隱患。

　　1.3計(jì)算機(jī)病毒

　　計(jì)算機(jī)病毒是威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的最大致命因素。它是人為制造的一種影響計(jì)算機(jī)正常運(yùn)行、破壞計(jì)算機(jī)內(nèi)的文件數(shù)據(jù)，并且能夠自我復(fù)制的惡意程序代碼。就像現(xiàn)實(shí)生活中的病毒一樣具有傳染性、隱蔽性、復(fù)制性、潛伏性和破壞性，同時(shí)有可觸發(fā)性這一特有的特性。這些特性就容易導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)安全存在嚴(yán)重隱患。

　　1.4木馬攻擊

　　無(wú)論是計(jì)算機(jī)的硬件還是軟件，制造者們?yōu)榱四軌蜻M(jìn)行非授權(quán)訪問(wèn)會(huì)故意在軟、硬件上設(shè)置訪問(wèn)口令，即后門，木馬就是一種特殊的后門程序。在計(jì)算機(jī)聯(lián)網(wǎng)的情況下，通過(guò)木馬黑客可以無(wú)授權(quán)且隱蔽地來(lái)進(jìn)行遠(yuǎn)程訪問(wèn)或控制計(jì)算機(jī)。也正是如此，計(jì)算機(jī)網(wǎng)絡(luò)存在嚴(yán)重的安全威脅，并且這一威脅還處于潛在的。

　　1.5黑客

　　黑客是精通編程語(yǔ)言和計(jì)算機(jī)系統(tǒng)，對(duì)計(jì)算機(jī)有很深的研究的電腦專家，他們通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)，利用計(jì)算機(jī)系統(tǒng)或應(yīng)用軟件的安全漏洞非法訪問(wèn)或控制計(jì)算機(jī)，以此來(lái)破壞系統(tǒng)，竊取資料等一些惡意行為，可以說(shuō)對(duì)計(jì)算機(jī)的安全，黑客比計(jì)算機(jī)病毒更具危害。

　　2網(wǎng)絡(luò)安全防范相關(guān)技術(shù)

　　針對(duì)以上這些威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的因素，編程人員也研發(fā)了各種的防范技術(shù)來(lái)保障計(jì)算機(jī)用戶的網(wǎng)絡(luò)安全。而且隨著威脅因素的升級(jí)提高，安全技術(shù)也正在不斷的提高升級(jí)。目前常用的計(jì)算機(jī)網(wǎng)絡(luò)安全防范技術(shù)有以下幾種。

　　2.1入侵預(yù)防技術(shù)

　　現(xiàn)在有很多針對(duì)入侵進(jìn)行檢測(cè)的產(chǎn)品，但是這些入侵檢測(cè)產(chǎn)品只是被動(dòng)的進(jìn)行檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)有無(wú)受到攻擊，甚至有時(shí)也會(huì)有些誤檢測(cè)引起防火墻的錯(cuò)誤操作，使之影響整個(gè)網(wǎng)絡(luò)系統(tǒng)。這時(shí)我們需要更高一級(jí)的入侵預(yù)防技術(shù)來(lái)保障計(jì)算機(jī)網(wǎng)絡(luò)的安全運(yùn)行。入侵預(yù)防技術(shù)與傳統(tǒng)的入侵檢測(cè)程序最大的不同就是入侵預(yù)防技術(shù)根據(jù)預(yù)先設(shè)定好的防范規(guī)則，以此來(lái)判斷哪些行為是可以通過(guò)的，哪些行為是帶有威脅性的，并且一旦發(fā)現(xiàn)有可疑的入侵行為，入侵預(yù)防技術(shù)會(huì)積極主動(dòng)地進(jìn)行攔截或清除此系統(tǒng)行為。入侵預(yù)防技術(shù)安全地架構(gòu)了一個(gè)防范網(wǎng)絡(luò)安全的應(yīng)用軟件，它加強(qiáng)了用戶桌面系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的安全。從入侵預(yù)防技術(shù)的特點(diǎn)來(lái)說(shuō)，入侵預(yù)防置于服務(wù)器前面，防火墻的后面是最佳選擇。

　　2.2防范計(jì)算機(jī)病毒的安全技術(shù)

　　計(jì)算機(jī)病毒具有的隱蔽性強(qiáng)、復(fù)制能力快、潛伏時(shí)間長(zhǎng)、傳染性快、破壞能力大、針對(duì)性強(qiáng)等特點(diǎn)，應(yīng)用的主要技術(shù)有“后門”攻擊、無(wú)線電、數(shù)據(jù)控制鏈接攻擊、“固化”的方式，針對(duì)這些特性防范計(jì)算機(jī)病毒的安全技術(shù)操作，我們應(yīng)該注意幾個(gè)方面的內(nèi)容，第一、安裝有層次級(jí)別的防病毒軟件，對(duì)計(jì)算機(jī)實(shí)施全方位的保護(hù)措施。第二、對(duì)光盤、U盤等移動(dòng)存儲(chǔ)介質(zhì)中的內(nèi)容進(jìn)行防毒殺毒措施。第三、對(duì)從網(wǎng)絡(luò)上下載的文件資料或郵件進(jìn)行病毒查殺。第四、定期升級(jí)病毒庫(kù)，定期對(duì)計(jì)算機(jī)進(jìn)行查殺。

　　2.3采用防火墻技術(shù)

　　為了保障計(jì)算機(jī)網(wǎng)絡(luò)的安全性，可以與其他安全防范技術(shù)相配合使用的一個(gè)技術(shù)就是防火墻技術(shù)。防火墻是一種用于加強(qiáng)網(wǎng)絡(luò)與網(wǎng)絡(luò)間的訪問(wèn)控制，防止外部非法授權(quán)用戶訪問(wèn)內(nèi)部的網(wǎng)絡(luò)信息的應(yīng)用軟件。防火墻的主要工作就是掃描所有經(jīng)過(guò)它進(jìn)入的外網(wǎng)網(wǎng)絡(luò)通信數(shù)據(jù)，過(guò)濾具有威脅性的攻擊信息數(shù)據(jù)，并且關(guān)閉不開啟的端口禁止數(shù)據(jù)流的進(jìn)出，同時(shí)封鎖木馬禁止可疑站點(diǎn)的訪問(wèn)，防止非法授權(quán)用戶的入侵，并且監(jiān)控網(wǎng)絡(luò)的使用情況，記錄和統(tǒng)計(jì)有無(wú)非法操作的行為。它主要是用來(lái)邏輯隔離計(jì)算機(jī)網(wǎng)絡(luò)的內(nèi)網(wǎng)和外網(wǎng)，所以通常安裝在連接內(nèi)網(wǎng)與外網(wǎng)的節(jié)點(diǎn)上，所以防火墻又有防外不防內(nèi)的局限性。在實(shí)際工作中，網(wǎng)絡(luò)管理員通常是把防火墻技術(shù)和其他的安全防范技術(shù)配合使用，這樣能更好地保護(hù)網(wǎng)絡(luò)的安全使用。并且防火墻設(shè)置上要冗余多變，單點(diǎn)設(shè)置易使網(wǎng)絡(luò)出現(xiàn)故障，如果內(nèi)網(wǎng)與外網(wǎng)出現(xiàn)連通故障，則會(huì)嚴(yán)重影響網(wǎng)絡(luò)的交流通訊。

　　2.4漏洞掃描技術(shù)

　　漏洞掃描技術(shù)的主要技術(shù)有Ping掃描、端口掃描、脆弱點(diǎn)探測(cè)、OS探測(cè)。它們根據(jù)要實(shí)現(xiàn)的不同目標(biāo)運(yùn)用不同的工作原理。在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中，通過(guò)Ping掃描來(lái)確定目標(biāo)主機(jī)的IP地址，通過(guò)端口掃描來(lái)確定主機(jī)所開啟的端口及該端口的網(wǎng)絡(luò)服務(wù)，并且用脆弱點(diǎn)探測(cè)和OS探測(cè)進(jìn)行掃描，所得結(jié)果與網(wǎng)絡(luò)漏洞掃描系統(tǒng)所提供的漏洞庫(kù)進(jìn)行特征匹配，以此確定有無(wú)漏洞存在。這種漏洞的特征匹配方法必須對(duì)網(wǎng)絡(luò)漏洞掃描系統(tǒng)配置特征規(guī)則的漏洞庫(kù)進(jìn)行不斷的擴(kuò)充和修正，即時(shí)更新漏洞庫(kù)，讓漏洞庫(kù)信息完整、有效、簡(jiǎn)易。

　　2.5數(shù)據(jù)加密技術(shù)

　　網(wǎng)絡(luò)是一個(gè)自由的世界，但為了保護(hù)每個(gè)客戶的信息安全，就需要為他們加上一把“鎖”，也就是說(shuō)在傳輸一些敏感的信息時(shí)需要將信息加密后在傳送出去。數(shù)據(jù)加密技術(shù)是保障用戶網(wǎng)絡(luò)安全的一項(xiàng)重要手段之一。數(shù)據(jù)加密技術(shù)的應(yīng)用是用于保護(hù)網(wǎng)絡(luò)上傳輸?shù)男畔?shù)據(jù)不會(huì)被他人惡意的篡改或截取，防止被人看到或破壞。目前運(yùn)用的數(shù)據(jù)加密算法有對(duì)稱算法和公開密鑰算法兩種。對(duì)稱算法是指加密密鑰可以從解密密鑰中推算出來(lái)或是加密密鑰與解密密鑰相同。對(duì)稱算法速度快，但管理密鑰要非常嚴(yán)密，密鑰的傳送途徑必須安全。而公開密鑰算法與對(duì)稱算法完全不同，不僅加密密鑰與解密密鑰不一樣，并且從加密密鑰中也幾乎不可能反推出解密密鑰。這樣對(duì)公開密鑰算法的密鑰管理要求不嚴(yán)，但是加密算法復(fù)雜，速度慢。計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)工作過(guò)程中，為了加強(qiáng)網(wǎng)絡(luò)通訊的安全性，適當(dāng)?shù)亟o網(wǎng)絡(luò)建立數(shù)據(jù)加密技術(shù)進(jìn)行主動(dòng)防御，使網(wǎng)絡(luò)運(yùn)行更加安全、有效。

　　2.6蜜罐技術(shù)

　　蜜罐技術(shù)是為了在隱藏好自己的同時(shí)也讓自己故意成為攻擊目標(biāo)，引誘黑客來(lái)入侵，借此來(lái)收集信息發(fā)現(xiàn)所用的服務(wù)器或系統(tǒng)的新漏洞，并且查明入侵者的實(shí)際行為。蜜罐技術(shù)的優(yōu)勢(shì)在于減少了網(wǎng)絡(luò)管理員對(duì)數(shù)據(jù)分析的時(shí)間，因?yàn)檫M(jìn)出蜜罐的數(shù)據(jù)大多是攻擊數(shù)據(jù)流，不需要花時(shí)間去分析哪些是安全的，哪些是有威脅的。蜜罐設(shè)置并不難，但是如果設(shè)置的不夠隱蔽或是不夠周全，就有可能被入侵者發(fā)現(xiàn)并做出更大的破壞，造成更加嚴(yán)重的后果。隨著網(wǎng)絡(luò)入侵方法的多樣化，蜜罐技術(shù)也要進(jìn)行多樣化的發(fā)展改進(jìn)，否則就無(wú)法安全的對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行保護(hù)。

　　2.7系統(tǒng)容災(zāi)技術(shù)

　　系統(tǒng)容災(zāi)技術(shù)包括本地容災(zāi)技術(shù)和異地容災(zāi)技術(shù)兩種。本地容災(zāi)技術(shù)主要是包括磁盤保護(hù)、快照數(shù)據(jù)保護(hù)和磁盤數(shù)據(jù)備份等方面的內(nèi)容，通過(guò)對(duì)磁道的保護(hù)達(dá)到保護(hù)存儲(chǔ)設(shè)備不被外來(lái)對(duì)象入侵。遠(yuǎn)程數(shù)據(jù)容災(zāi)是指通過(guò)將本地?cái)?shù)據(jù)在線備份到遠(yuǎn)離本地的異地?cái)?shù)據(jù)系統(tǒng)保存，當(dāng)災(zāi)難發(fā)生后，可以通過(guò)數(shù)據(jù)重構(gòu)，來(lái)達(dá)到抵御區(qū)域性、毀滅性災(zāi)難，保護(hù)業(yè)務(wù)數(shù)據(jù)的目的。但關(guān)鍵業(yè)務(wù)服務(wù)的暫時(shí)停頓不可避免。網(wǎng)絡(luò)容災(zāi)技術(shù)是指網(wǎng)絡(luò)在遭受各種故障，如通信人為故障和客觀因素導(dǎo)致的通信事故等時(shí)，仍能維持可接受的業(yè)務(wù)質(zhì)量的能力。服務(wù)容災(zāi)技術(shù)是當(dāng)發(fā)生災(zāi)難時(shí)，需要將生產(chǎn)中心的業(yè)務(wù)轉(zhuǎn)移到容災(zāi)中心去運(yùn)行。可以保證服務(wù)的自動(dòng)無(wú)縫遷移，讓用戶感覺(jué)不出提供服務(wù)的主體發(fā)生了變化。

　　3結(jié)束語(yǔ)

　　計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，給計(jì)算機(jī)的安全帶來(lái)了很大的隱患，計(jì)算機(jī)安全專家們也在為此作不懈的努力。但這種入侵技術(shù)時(shí)時(shí)在更新，我們只有理清了所有的入侵技術(shù)，進(jìn)一步作出入侵防范的判斷才能讓網(wǎng)絡(luò)處于安全的地步。本文通過(guò)敘述威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的因素有哪些以及針對(duì)這些威脅因素應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)安全的防范技術(shù)又有哪些，以便更好地實(shí)踐應(yīng)用網(wǎng)絡(luò)安全防范技術(shù)，讓人們?cè)谏詈凸ぷ鲿r(shí)能夠放心地暢游計(jì)算機(jī)網(wǎng)絡(luò)世界。參考文獻(xiàn)：

　　[1]趙敬,孫洪峰.信息與網(wǎng)絡(luò)安全防范技術(shù)[J].現(xiàn)代電子技術(shù),2003(8).

　　[2]宋淵明,楊明.信息與計(jì)算機(jī)通信網(wǎng)絡(luò)安全技術(shù)研究[J].信息技術(shù),2003(4).

　　[3]戴啟艷.影響信息系統(tǒng)安全的主要因素及主要防范技術(shù)[J].中國(guó)科技信息,2010(6).

　　[4]廖輝,凌捷.網(wǎng)絡(luò)終端安全狀況評(píng)估指標(biāo)體系的研究[J].計(jì)算機(jī)工程與設(shè)計(jì),2010(5).

　　[5]李曉明,付丹丹.計(jì)算機(jī)網(wǎng)絡(luò)攻擊分析及防范技術(shù)[J].電腦學(xué)習(xí),2010(6).