网络安全的根源大全11篇

网络安全的根源篇（1）

中图分类号 TP393 DOI：10．3969／j．issn．1672－9722．2016．03．021

1引言

随着网络规模的不断增加、网络设备的多样化和网络拓扑结构的复杂度不断增加，对网络安全提出了新的挑战，传统的网络管理已经不能适应当前网络安全形势的变化。针对当前网络中的安全威胁，为了解决传统网络安全技术功能单一，被动防护的问题，可控网络理论的研究逐渐兴起。可控网络理论是以网络控制论为核心理论，是以实现网络安全性为控制目标的网络安全控制理论［1］。接入控制是对节点接入网络及节点的访问权限进行控制，是信息网络安全的基础。因此，对可控网络中的接入控制进行研究，实现对网络节点的接入功能动态可控，对增强网络的安全性具有重要意义。

2可控网络中的接入控制系统

2．1相关理论知识

可控网络理论是在网络控制论的指导下的各种有关网络安全控制的理论，它以解决网络安全问题为着眼点，以网络安全性能为目标，整合集成现有的各种网络安全技术，构建高效的、科学合理的网络安全控制体系［2］。基于可控网络理论，通过反馈控制，实现网络安全性指标的网络系统，称为可控网络系统。可控网络系统的显著特点是通过施加一定的作用，使得网络的状态和行为在能够预期和把握的范围内。为了实现真正的网络安全，网络必须具有对用户行为高度的控制和管理能力，能够实现网络行为状态的监测、网络行为结果的评估和网络异常行为的控制，形成对网络行为的反馈闭环控制，提高网络安全防护能力［3］。接入控制是可控网络安全的第一道防线，包括边界控制、身份认证和访问控制三个方面。通过边界控制实现对内部网络（以下简称内网）与外部网络（以下简称外网）通信的管控以及对内网接入终端的控制，防止外网非法用户访问内网、内网用户访问非授权资源以及非法终端接入内网；通过身份认证，检查用户身份是否真实可信，防止非法人员违规操作获得不当利益；通过访问控制设计不同力度的访问控制策略，对进入可控网络中的用户的资源访问权限进行监督和限制。三者之间功能相辅相成能够有效地杜绝外界网络的安全入侵、非法用户的违规操作和合法用户的越权操作，确保了网络的安全性。

2．2接入控制系统的组成与功能

接入控制主要由安全控制中心、交换传输设备、互连网资源以及主机组成，如图1所示。安全控制中心是可控网络的核心，主要由日志审计服务器、大数据分析服务器、边界控制服务器、身份认证服务器、访问控制管理模块以及各种相应功能的服务器组成，其主要功能是对接入控制中的异常认证行为和访问行为进行动态、实时管控，确保系统的安全性与稳定性。边界控制服务通过设置相应的过滤规则对访问内网的用户及通信数据进行控制，从而达到保护内网中存在安全漏洞的网络服务的目的，同时实施安全策略对网络通信进行访问控制、防止内部网信息暴露；同时能够限制内网中的用户对外网的非授权访问。通过设定交换机端口、绑定网卡MAC地址和IP地址等手段对接入子网的终端进行限定，以此来限定内网的边界。身份认证服务通过相应的认证协议对可控网络中的用户进行身份的鉴别，从而确保非法用户被拒绝于应用服务之外。身份认证的本质是被验证者与验证者之间执行多次信息协商后，由验证者确认被验证者的身份是否真实可信，防止非法人员违规操作获得不当利益。访问控制服务通过相应的访问控制策略对网络中通过认证用户的访问权限进行判定，从而解决内部合法用户的安全威胁，作为可控网络的第二道防线，访问控制主要解决“合法用户在系统中对各类资源以何种权限访问”的问题。

3接入控制结构

可控网络系统一般包括施控部分、被控部分、控制单元及反馈单元四部分。当网络节点接入可控网络系统进行资源访问时，节点的接入请求会受到外界信息的干扰，主要是非法分子的攻击和系统入侵；同时节点访问网络资源时，也会受到扰动，主要为内部安全威胁。通过对网络异常行为进行分析将结果通过反馈单元传给控制者和控制子网，控制者和控制子网针对异常行为通过控制单元实施网络主动防御控制，从而形成网络控制闭环，达到主动防御控制目的［4］。可控网络中的接入控制系统主要由信息采集节点、中间控制节点和安全控制中心组成，具体如图2所示。施控部分的主要功能是根据反馈回路中的反馈信息对网络中的异常行为进行分析、处理，并实施调控。在接入控制系统中，安全控制中心属于施控部分。控制中心通过大数据分析、日志审计及入侵检查等服务器对终端的接入控制行为进行分析、判断，并将处理结果通过控制回路发送给被控部分。被控部分的主要功能是将网络中的行为通过反馈单元发送给施控部分，并根据控制单元的控制信息对异常行为进行处理。在接入控制中，信息采集节点及网络资源与行为属于被控部分。信息采集节点将终端的接入控制行为通过安全接口反馈给控制中心，并根据控制单元的处理信息进行相应的响应。控制单元的主要功能是对控制信息进行传输，同时对网络异常行为进行处理，使得网络系统向安全可控状态转变。控制单元包括各种控制作用和控制通道。控制作用在某种意义上可以说是按一定目标对受控系统在状态空间中的各种可能状态进行选择，使系统的运动达到或趋近这些被选择的状态［5］。因此，没有选择的目标就没有控制。控制通道是控制信息得以流通的各种控制结构、控制方式和传输介质的组合，它可以是物理的组合，也可以是逻辑的组合。在控制通道上，控制信息从施控部分传递到被控部分，属于前向通道。反馈单元的主要功能是针对一定目标对受控系统的状态进行监测、分析和报告，使施控系统能够及时做出响应。接入控制系统在反馈作用的影响下，能够监视系统处于何种状态。反馈单元包括反馈作用和反馈通道。反馈通道由各种信息采集和分析设备、信息反馈和决策系统等组成。在反馈通道上，反馈信息从被控部分传递到施控部分，属于反向通道。

4接入控制的工作过程

接入控制要经过边界控制、身份认证和访问控制三道流程后，才能确定用户能否访问应用资源，具体流程如图3所示。当用户提出访问请求后，首先要判断访问请求来自内网用户还是外网用户。当访问请求来自内网用户时，首先判断用户访问的资源是否为外网资源；若为外网资源，则边界控制服务器根据过滤规则库判断该请求能否通过，用户是否具有访问外网的权限；若为内网资源，身份认证服务器根据认证规则库进行用户身份认证，判断用户是否合法；用户通过身份认证后进入应用系统，访问控制器根据访问控制策略库进行访问权限控制，判断用户是否具有访问资源的权限。当访问请求来自外网用户时，则边界控制服务器根据过滤规则库判断该请求能否通过，用户是否具有访问内网的权限；当用户通过边界控制服务器认证后进入内网，身份认证服务器根据认证规则库进行用户身份认证，判断用户是否合法；用户通过身份认证后进入应用系统，访问控制器根据访问控制策略库进行访问权限控制，判断用户是否具有访问资源的权限；只有当所有的接入控制都通过后，用户才能进行应用资源的访问。当接入控制某个环节出现问题时，安全控制中心会根据反馈单元的信息对异常行进行分析和处理，并通过控制单元对相应节点进行调控［6］。

5接入控制模型

5．1身份认证模型

身份认证模型一般由用户、认证服务器、控制中心以及数据库存服务器组成，如图4所示。身份认证模型一般包括注册与认证两个阶段。注册阶段主要完成用户与认证服务器身份标识的选择、密钥的分发（针对基于密钥的身份认证）。用户将能够证明自己身份的信息，通过加密等手段传递给认证服务器，认证服务器将用户注册信息存储在数据库存服务器中用于下步的认证，并将注册结果返回给用户。认证阶段主要完成用户与认证服务器之间的身份认证［7］。用户和服务器根据注册信息以及采用的身份认证协议进行单向或双向的身份认证。控制中心通过反馈通道采集用户身份认证行为，并通过大数据分析对异常身份认证行为进行分析处理，通过控制通道将处理结果通过控制通道传递给身份认证服务器。综述所述，身份认证的结构控制如图5所示。当受控对象根据认证协议和认证信息执行身份认证服务时，控制单元能够采集受控对象信息以及认证服务，通过控制中心进行大数据分析后，将控制结果通过控制回路反馈给受控对象，同时将控制信息反馈给执行单元，执行单元根据控制信息和认证协议进行认证服务处理，完成认证回路。

5．2访问控制模型

访问控制模型一般由主体、客体、控制中心、访问控制器以及规则数据库组成，如图6所示。访问控制器包括执行部件和授权部件两大部分［8］。执行部件根据访问规则和授权关系实现对主体访问客体的控制，它要验证访问的有效性和合法性，记录访问事件，杜绝非法访问；授权部件根据控制策略选择访问控制类型，根据不同的控制类型与方式建立和维护访问规则和授权关系，包括能力表、访问表等，并将它们保存在数据库中。主体不能绕过访问控制器直接存取客体。主体在必要的时候，可携带访问令牌，该令牌由授权部件核发，并经过完整性、真实性保护，提交访问请求时，它由执行部件验证。一般情况下，访问令牌具有时效性。控制中心通过反馈通道采集用户访问行为，并通过大数据分析对异常访问行为进行分析处理，通过控制通道将处理结果通过控制通道传递给访问控制器。综上所述，访问控制的控制结构如图7所示。访问控制器的授权部件属于控制单元，它根据系统的控制策略、主体的访问请求和被控对象的信息，针对不同的控制方式形成访问能力表（针对自主访问控制下的主体）、访问控制表（针对自主访问控制下的客体）和访问控制规则（针对强制访问控制与基于角色的访问控制），并传递给作为执行单元的执行部件执行。同时，控制单元还可建立被控对象的安全标记（用于强制访问控制），也可根据主体的访问请求核发访问令牌，这些控制信息均属于前馈控制信息流。在具体执行访问控制时，受控对象向执行单元提交安全标记或访问令牌，执行单元根据访问控制表或控制规则实施具体的访问控制，并将访问事件记录在案，反馈给控制单元。客体所在系统的日志信息也会被反馈给控制单元，由控制单元根据反馈信息做出访问权限的调整［9］。

5．3边界控制模型

边界控制可以分为外网边界控制和内网边界控制。外网边界控制通常作用于内网与外网之间，明确哪些数据包能够离开或者进入内网，防止其到达目的主机［10］。内网边界控制主要作用于内网终端上，明确哪些终端能够接入内网，防止未授权终端接入内网。外网边界控制模型一般由内网、外网、控制中心、边界控制服务和相应的过滤规则组成，如图8所示。边界控制服务器根据需求设置相应的过滤规则，进入或离开内网的数据包应根据规则进行相应判断，符合过滤规则的数据才能进行转发。控制中心通过反馈通道采集用户边界服务行为，并通过大数据分析对异常边界服务行为进行分析处理，通过控制通道将处理结果通过控制通道传递给边界控制器。边界控制器中的执行部件根据过滤规则和控制信息实现对内网和外网数据通信的控制。综上所述，外网边界控制的控制结构如图9所示。当受控对象根据过滤规则执行外网边界控制服务时，控制单元能够采集受控对象信息以及边界服务，通过控制中心进行大数据分析后，将控制结果通过控制回路反馈给受控对象，同时将控制信息反馈给执行单元，执行单元根据控制信息和过滤规则进行边界服务处理，完成边界控制回路。内网边界控制主要作用于用户终端。边界控制服务器根据交换机端口、终端IP地址以及MAC地址对用户终端接入内网权限进行判定。控制中心通过反馈通道能够采集终端接入子网的接入行为，并进行大数据分析和风险评估，边界控制服务器根据自身设定的规则和控制中心处理结果对终端接入子网的行为进行控制。

网络安全的根源篇（2）

关于计算机通信网络安全技术的研究

一、计算机通信简述 计算机通信是一种以数据通信形式出现，在计算机与计算机之间或计算机与终端设备之间进行信息产生、处理、传输、交换、存储的手段。它是现代计算机技术与通信技术相融合的产物，在军队指挥自动化系统、武器控制系统、信息处理系统、决策分析系统、情报检索系统以及办公自动化系统等领域得到了广泛应用。计算http://机通信网络是计算机技术和通信技术相结合而形成的一种新的通信方式，主要是满足数据传输的需要。它将不同地理位置、具有独立功能的多台计算机终端及附属硬件设备（路由器、交换机）用通信链路连接起来，并配备相应的网络软件，以实现通信过程中资源共享而形成的通信系统。它不仅可以满足局部地区的一个企业、公司、学校和办公机构的数据、文件传输需要，而且可以在一个国家甚至全世界范围进行信息交换、储存和处理，同时可以提供语音、数据和图像的综合性服务，是未来信息技术发展的必由之路。目前，计算机网络和数据通信发展迅速，各国都通过建成的公用数据通信网享用各数据库资源和网络设备资源。为发展高新技术和国民经济服务。计算机通信技术、数据库技术相基于两者基础上的联机检索技术已广泛应用于信息服务领域。从报刊、人工采集、会员单位组织的传统信息服务方式正逐步被以数据库形式组织的信息通信计算机网络供用户联机检索所代替。信息量和随机性增大，信息更新加快，信息价值明显提高，信息处理和利用更加方便。因此，计算机网络通信系统是信息社会的显著标志，在信息处理和传递中占重要位置；计算机网络的组成基本上包括：计算机、网络操作系统、传输介质（可以是有形的，也可以是无形的，如无线网络的传输介质就是空气）以及相应的应用软件四部分：（1）资源共享：资源共享是人们建立计算机网络的主要目的之一。Www.133229.Com计算机资源包括有硬件资源、软件资源和数据资源。硬件资源的共享可以提高设备的利用率，避免设备的重复投资。如利用计算机网络建立网络打印机。软件资源和数据资源的共享可以充分利用已有的信息资源，减少软件开发过程中的劳动，避免大型数据库的重复设置；（2）数据通讯：数据通讯是指利用计算机网络实现不同地理位置的计算机之间的数据传送。如人们通过电子邮件（e-mail）发送和接收信息，使用ip电话进行相互交谈等；（3）均衡负荷与分布处理：是指当计算机网络中的某个计算机系统负荷过重时，可以将其处理的任务传送到网络中的其它计算机系统中，以提高整个系统的利用率。对于大型的综合性的科学计算和信息处理，通过适当的算法，将任务分散到网络中不同的计算机系统上进行分布式的处理。如通过国际互联网中的计算机分析地球以外空间的声音等；（4）综合信息服务：在当今的信息化社会中，各行各业每时每刻都要产生大量的信息需要及时的处理，而计算机网络在其中起着十分重要的作用。 二、计算机通信网络安全技术分析网络安全问题一直是网络通信的漏洞，影响着网络信息的传播。随着信息技术的发展，各种网络安全技术层出不穷，尽管技术的结构不同，但是其本质及目的性较为统一。本文主要就围绕着计算机通信网络安全问题展开探讨，分析了防火墙技术等四种网络安全技术。通过文章的分析，以期对计算机通信网络安全问题的研究提供一定的帮助。 （一）防火墙技术 在计算机网络通信安全方面，防火墙技术的出现具有划时代的意义，它是将汽车系统中的防护安全部件的作用引入到计算机网络安全技术中。防火墙技术是计算机通信安全技术中发展最早得技术，它主要的功能是阻挡外来不安全因素，并且阻挡用户为经

转贴于 http://

授权的访问。防火墙技术主要由服务的访问政策、验证工具、包过滤以及应用网关四个部分组成。防火墙主要位于计算机硬件与所言连接的计算机网络中间，在信息流通过程中，根据防火墙的验证工具而产生访问许可，进而通过验证来保障网络技术的安全。 （二）数据加密技术 数据加密技术是一种新型的网路安全技术，它是在信息交流之间进行了加密，通过密钥之间的解析来进行网络安全防护。数据加密技术最重要的技术特点和技术成分就是密钥，正是通过密钥的作用来保护了内部网络结构的安全。密钥在本质上是一类函数，之所以能够很好的进行安全防护，是由于这种函数的不确定性，它并不是固定的不变的函数，用户可以根据自己的需求选择不同的函数，以此来确保个人信息的安全。数据机密技术的本质的工作特点是，只有在指定的用户或网络下，才能解除密码而获得原来的数据，这就需要给数据发送方和接受方以一些特殊的信息用于加解密，这就是所谓的通过密钥进行安全防护的数据加密技术。随着数据加密技术的发展，出现了如专用密钥、对称密钥等数据加密技术，对于计算机通信网络安全提供了全方位的防护。 （三）身份认证技术 从本质上而言，网络安全的身份认证技术与数据加密技术是相同的。尽管身份认证技术起步较晚，但是其实际应用已经较为广泛，例如，在网络银行的使用过程中，用户需要根据随机生成的密码或者自己设定的身份证明进行登录，在一定程度上保护了用户的安全。在具体的使用中，认证方法主要有三种，根据你所知道的信息来证明你的身份、根据你所拥有的东西来证明你的身份以及直接根据独一无二的身体特征来证明你的身份。在一般的网络安全技术中只对某一种进行安全防护，但是，在网络世界中手段与真实世界中一致，为了达到更高的身份认证安全性，某些场景会将上面3种挑选2中混合使用，即所谓的双因素认证。 （四）网络隔离技术 网络隔离技术是计算机通信网络安全技术中起步较早，也是较为重要的一种。特别是随着计算机技术的发展，为了使网络安全达到更高的层次以及网络安全的特殊要求，网http://络隔离技术由于其自身的特点而被重新重点的应用。网络隔离技术的目标是确保隔离有害的攻击，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。网络隔离技术的发展大致经过了五个阶段，从最原始的完全的隔离，到后来的硬件卡隔离，一直到最新的安全通道隔离，它们在安全防护的目的上从没有改变，但是其防护的重点和防护的手段却逐渐更新，并且被越来越多的用户所接受。 三、结语 随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清计算机通信网络的脆弱性和潜在威胁，从而采取各种安全对策，灵活运用各种新技术，不仅将会使得计算机通信网络应用更加方便，也对于保障计算机通信安全具有十分重要的意义。转贴于 http://

网络安全的根源篇（3）

关于计算机通信网络安全技术的研究

一、计算机通信简述 计算机通信是一种以数据通信形式出现，在计算机与计算机之间或计算机与终端设备之间进行信息产生、处理、传输、交换、存储的手段。它是现代计算机技术与通信技术相融合的产物，在军队指挥自动化系统、武器控制系统、信息处理系统、决策分析系统、情报检索系统以及办公自动化系统等领域得到了广泛应用。计算http://机通信网络是计算机技术和通信技术相结合而形成的一种新的通信方式，主要是满足数据传输的需要。它将不同地理位置、具有独立功能的多台计算机终端及附属硬件设备（路由器、交换机）用通信链路连接起来，并配备相应的网络软件，以实现通信过程中资源共享而形成的通信系统。它不仅可以满足局部地区的一个企业、公司、学校和办公机构的数据、文件传输需要，而且可以在一个国家甚至全世界范围进行信息交换、储存和处理，同时可以提供语音、数据和图像的综合性服务，是未来信息技术发展的必由之路。目前，计算机网络和数据通信发展迅速，各国都通过建成的公用数据通信网享用各数据库资源和网络设备资源。为发展高新技术和国民经济服务。计算机通信技术、数据库技术相基于两者基础上的联机检索技术已广泛应用于信息服务领域。从报刊、人工采集、会员单位组织的传统信息服务方式正逐步被以数据库形式组织的信息通信计算机网络供用户联机检索所代替。信息量和随机性增大，信息更新加快，信息价值明显提高，信息处理和利用更加方便。因此，计算机网络通信系统是信息社会的显著标志，在信息处理和传递中占重要位置；计算机网络的组成基本上包括：计算机、网络操作系统、传输介质（可以是有形的，也可以是无形的，如无线网络的传输介质就是空气）以及相应的应用软件四部分：（1）资源共享：资源共享是人们建立计算机网络的主要目的之一。计算机资源包括有硬件资源、软件资源和数据资源。硬件资源的共享可以提高设备的利用率，避免设备的重复投资。如利用计算机网络建立网络打印机。软件资源和数据资源的共享可以充分利用已有的信息资源，减少软件开发过程中的劳动，避免大型数据库的重复设置；（2）数据通讯：数据通讯是指利用计算机网络实现不同地理位置的计算机之间的数据传送。如人们通过电子邮件（e-mail）发送和接收信息，使用ip电话进行相互交谈等；（3）均衡负荷与分布处理：是指当计算机网络中的某个计算机系统负荷过重时，可以将其处理的任务传送到网络中的其它计算机系统中，以提高整个系统的利用率。对于大型的综合性的科学计算和信息处理，通过适当的算法，将任务分散到网络中不同的计算机系统上进行分布式的处理。如通过国际互联网中的计算机分析地球以外空间的声音等；（4）综合信息服务：在当今的信息化社会中，各行各业每时每刻都要产生大量的信息需要及时的处理，而计算机网络在其中起着十分重要的作用。 二、计算机通信网络安全技术分析网络安全问题一直是网络通信的漏洞，影响着网络信息的传播。随着信息技术的发展，各种网络安全技术层出不穷，尽管技术的结构不同，但是其本质及目的性较为统一。本文主要就围绕着计算机通信网络安全问题展开探讨，分析了防火墙技术等四种网络安全技术。通过文章的分析，以期对计算机通信网络安全问题的研究提供一定的帮助。 （一）防火墙技术 在计算机网络通信安全方面，防火墙技术的出现具有划时代的意义，它是将汽车系统中的防护安全部件的作用引入到计算机网络安全技术中。防火墙技术是计算机通信安全技术中发展最早得技术，它主要的功能是阻挡外来不安全因素，并且阻挡用户为经

转贴于 http://

授权的访问。防火墙技术主要由服务的访问政策、验证工具、包过滤以及应用网关四个部分组成。防火墙主要位于计算机硬件与所言连接的计算机网络中间，在信息流通过程中，根据防火墙的验证工具而产生访问许可，进而通过验证来保障网络技术的安全。 （二）数据加密技术 数据加密技术是一种新型的网路安全技术，它是在信息交流之间进行了加密，通过密钥之间的解析来进行网络安全防护。数据加密技术最重要的技术特点和技术成分就是密钥，正是通过密钥的作用来保护了内部网络结构的安全。密钥在本质上是一类函数，之所以能够很好的进行安全防护，是由于这种函数的不确定性，它并不是固定的不变的函数，用户可以根据自己的需求选择不同的函数，以此来确保个人信息的安全。数据机密技术的本质的工作特点是，只有在指定的用户或网络下，才能解除密码而获得原来的数据，这就需要给数据发送方和接受方以一些特殊的信息用于加解密，这就是所谓的通过密钥进行安全防护的数据加密技术。随着数据加密技术的发展，出现了如专用密钥、对称密钥等数据加密技术，对于计算机通信网络安全提供了全方位的防护。 （三）身份认证技术 从本质上而言，网络安全的身份认证技术与数据加密技术是相同的。尽管身份认证技术起步较晚，但是其实际应用已经较为广泛，例如，在网络银行的使用过程中，用户需要根据随机生成的密码或者自己设定的身份证明进行登录，在一定程度上保护了用户的安全。在具体的使用中，认证方法主要有三种，根据你所知道的信息来证明你的身份、根据你所拥有的东西来证明你的身份以及直接根据独一无二的身体特征来证明你的身份。在一般的网络安全技术中只对某一种进行安全防护，但是，在网络世界中手段与真实世界中一致，为了达到更高的身份认证安全性，某些场景会将上面3种挑选2中混合使用，即所谓的双因素认证。 （四）网络隔离技术 网络隔离技术是计算机通信网络安全技术中起步较早，也是较为重要的一种。特别是随着计算机技术的发展，为了使网络安全达到更高的层次以及网络安全的特殊要求，网http://络隔离技术由于其自身的特点而被重新重点的应用。网络隔离技术的目标是确保隔离有害的攻击，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。网络隔离技术的发展大致经过了五个阶段，从最原始的完全的隔离，到后来的硬件卡隔离，一直到最新的安全通道隔离，它们在安全防护的目的上从没有改变，但是其防护的重点和防护的手段却逐渐更新，并且被越来越多的用户所接受。 三、结语 随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。因此，认清计算机通信网络的脆弱性和潜在威胁，从而采取各种安全对策，灵活运用各种新技术，不仅将会使得计算机通信网络应用更加方便，也对于保障计算机通信安全具有十分重要的意义。转贴于 http://

网络安全的根源篇（4）

1计算机网络安全的主要隐患

1.1计算机网络软、硬件技术不够完善

由于人类认识能力和技术发展的局限性，在设计硬件和软件的过程中，难免会留下种种技术缺陷，由此造成信息安全隐患。如Internet作为全球使用范围最广的信息网，自身协议的开放性虽极大地方便了各种计算机入网，拓宽了共享资源，但TCP/IP协议在开始制定时没有考虑通信路径的安全性，缺乏通信协议的基本安全机制，没有加密、身份认证等功能，在发送信息时常包含源地址、目标地址和端口号等信息。由此导致了网络上的远程用户读写系统文件、执行根和非根拥有的文件通过网络进行传送时产生了安全漏洞。

1.2计算机网络安全系统不够健全

计算机网络系统内部的安全威胁包括以下几个方面：①计算机系统及通信线路的脆弱性。②系统软硬件设计、配置及使用不当。③人为因素造成的安全泄漏，如网络机房的管理人员不慎将操作口令泄漏，有意或无意地泄密、更改网络配置和记录信息，磁盘上的机密文件被人利用，临时文件未及时删除而被窃取，等等。

1.3物理电磁辐射引起的信息泄漏

计算机附属电子设备在工作时能经过地线、电源线、信号线将电磁信号或谐波等辐射出去，产生电磁辐射。电磁辐射物能够破坏网络中传输的数据，这种辐射的来源主要有两个方面，一是网络周围电子设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源；二是网络的终端、打印机或其他电子设备在工作时产生的电磁辐射泄漏。这些电磁信号在近处或者远处都可以被接收下来，经过提取处理，重新恢复出原信息，造成信息泄漏。

1.4网络安全制度不够健全

网络内部的安全需要用完备的安全制度来保障，管理的失败是网络系统安全体系失败的非常重要的原因。网络管理员配置不当或者网络应用升级不及时造成的安全漏洞、使用脆弱的用户口令、随意使用普通网络站点下载的软件、在防火墙内部架设拨号服务器却没有对账号认证等严格限制、用户安全意识不强、将自己的账号随意转借他人或与别人共享等，都会使网络处于危险之中。

2计算机网络受攻击的主要形式

计算机网络被攻击，主要有六种形式。①内部窃密和破坏。内部人员有意或无意的泄密、更改记录信息或者破坏网络系统。②截收信息。攻击者可能通过搭线或在电磁辐射的范围内安装截收装置等方式，截获机密信息，或通过对信息流和流向、通信频度和长度等参数的分析，推出有用的信息。它不破坏传输信息的内容，所以不易察觉。③非法访问。指未经授权使用网络资源或以未授权的方式使用网络资源，主要包括非法用户进入网络或系统进行违法操作和合法用户以未授权的方式进行操作。④TCP/IP协议上的某些不安全因素。目前广泛使用TCP/IP协议存在安全漏洞。如IP层协议就有许多安全缺陷。IP地址可以软件设置，造成地址假冒和地址欺骗两类安全隐患；IP协议支持源路由方式，即源点可以指定信息包传送到目的节点的中间路由，这就提供了源路由攻击的条件。⑤病毒破坏。网络病毒主要是通过一些应用服务器来传播的病毒，拥挤了有限的网络带宽，可能导致网络瘫痪。病毒还可能破坏群组服务器，让这些服务器充斥大量垃圾，导致数据性能降低。⑥其它网络攻击方式。攻击者可能破坏网络系统的可用性，使合法用户不能正常访问网络资源，拒绝服务甚至摧毁系统，破坏系统信息的完整性，还可能冒充主机欺骗合法用户，欺骗系统占用资源，等等。

3加强计算机网络安全的对策措施

3.1加强网络安全教育和管理

对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题，进行安全教育，提高工作人员的保密观念和责任心；加强业务、技术的培训，提高操作技能；教育工作人员严格遵守操作规程和各项保密规定，防止人为事故的发生。同时，要保护传输线路安全。对于传输线路，应有露天保护措施或埋于地下，并要求远离各种辐射源，以减少各种辐射引起的数据错误；电缆铺设应当使用金属导管，以减少各种辐射引起的电磁泄漏和对发送线路的干扰。对连接要定期检查，以检测是否有搭线窃听、外连或破坏行为。

3.2运用网络加密技术

网络信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。加密数据传输主要有三种：①链接加密。在网络节点间加密，在节点间传输加密的信息，传送到节点后解密，不同节点间用不同的密码。②节点加密。与链接加密类似，不同的只是当数据在节点间传送时，不用明码格式传送，而是用特殊的加密硬件进行解密和重加密，这种专用硬件通常放置在安全保险箱中。③首尾加密。对进入网络的数据加密，然后待数据从网络传送出后再进行解密。网络的加密技术很多，在实际应用中，人们通常根据各种加密算法结合在一起使用，这样可以更加有效地加强网络的完全性。网络加密技术也是网络安全最有效的技术之一。既可以对付恶意软件攻击，又可以防止非授权用户的访问。

3.3加强计算机网络访问控制

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非常访问，也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。根据网络安全的等级、网络空间的环境不同，可灵活地设置访问控制的种类和数量。

3.4使用防火墙技术

采用防火墙技术是解决网络安全问题的主要手段。防火墙技术是建立在现代通信网络技术和信息技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是在网络之间执行访问控制策略的系统，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况。具备检查、阻止信息流通过和允许信息流通过两种管理机制，并且本身具有较强的抗攻击能力。在逻辑上，防火墙是一个分离器、限制器和分析器，可以有效地监控内部网和Internet之间的任何活动，保证内部网络的安全。防火墙的应用可最大限度地保障网络的正常运行，它可以起着提高内部网络的安全性、强化网络安全策略、防止内部信息泄漏、网络防毒、信息加密、存储通信、授权、认证等重要作用。

参考文献

网络安全的根源篇（5）

中图分类号：TN915.08 文献标识码：A 文章编号：1007-9599 (2011) 18-0000-01

Analysis of NGN Network Security Solutions

Xu Wentian

(China Tietong,Guangxi Branch,Nanning 530003,China)

Abstract:NGN network with the Internet,as inevitably will be hackers or virus attacks or interference,how to solve network security problems can ensure reliable operation of NGN network key.In this paper,a simple common network security through the implementation of technology,the NGN network to solve security problems.

Keywords:NGN;Network;Security

一、引言

正如Internet一样，NGN网络所依托的数据网的开放性和公用性，不可避免地会受到黑客或病毒程序的攻击或干扰，因此NGN也面临着安全问题，如用户仿冒、盗打、破坏服务、抢占资源等。为此NGN网络必须从接入层保证用户的隔离、可管理等基本措施，防范常见的攻击手段，如地址仿冒、抢占资源。

二、NGN网络安全方案概述

NGN网络是一个可运营、可管理的网络，必然需要解决网络安全问题才可以保证网络的可靠运营。要解决网络的安全问题，最好先考察一下目前存在网络安全问题的根源，从消除这些完全问题的根源入手来达到彻底解决安全问题的目的。从目前的Internet网络安全的分析，我们知道Internet是一个不安全的网络，Internet的自由开放是造成Internet安全问题的重要因素。因此要保证所构建的NGN是安全的，就必须改变这种自由、开放的管理模式加强对用户接入的管理。通过对现有网络安全的研究，我们也可以发现在网络接入方面的自由开放是造成网络安全隐患的重要根源，同样是分组技术，Internet网络就存在重大的安全隐患，而X.25等网络就能够提供比较高的安全性，因此有必要在NGN接入层对用户接入和业务使用进行严格的控制，用户必须经过严格的鉴权和认证才可以接入NGN网络，用户的业务使用也必须经过严格的鉴权和认证，网络可以根据用户的业务权限控制用户的接入带宽。当NGN网络的接入用户受控之后，在用户侧就可以基本消除安全的隐患，这时NGN网络可能存在的安全隐患主要来自NGN网络内部，一方面在运营商内部发生网络安全问题的可能性比较小，另一方面这时可以通过实施通用网络安全技术，如在网络设备前置防火墙、攻击检测等防护设备，对网络设备访问权限进行控制和做好操作安全日志等手段解决可能发生的安全隐患。

（一）对NGN用户接入和业务接入的控制

因为NGN网络用户是NGN网络安全隐患的重要源头，在NGN接入网络侧对NGN用户接入和业务接入实施严格的控制是保证NGN网络安全的重要一环。在NGN接入网主要采用用户身份验证、业务鉴权和访问控制等手段来实现对用户接入和业务接入的控制。

对用户接入和业务接入的控制主要涉及到NGN网络系统中的三类网络实体：宽带接入服务器和宽带接入路由器作为用户访问NGN的PoP点，负责对用户进行接入认证、访问控制、接入带宽控制和业务报文的过滤，是NGN实施对用户接入控制的关口点；软交换和应用服务器和网关等是NGN网络业务提供设备，他们负责向用户进行业务权限鉴权和提供各种业务；策略服务器负责用户的安全、QoS与业务方面的策略控制，它还是业务层面与承载层面的桥梁，把来自业务层面的控制策略下发到承载层接入PoP点，如宽带接入服务器来实施策略控制。

1.用户身份验证。对用户身份进行认证的目的，一方面是避免非法用户访问NGN网络，另一方面是确认用户的身份，对用户的访问进行日志记录，即使出现网络安全问题也可以进行事后的审计和追踪，使网络破坏者无处可逃。

2.业务鉴权。用户接入NGN网络之后在使用业务之前必须经过业务认证，这样可以保证NGN上提供的业务不会被非法使用，运营商也可以根据用户使用的具体业务分别进行计费和为用户设定不同的访问权限和带宽需求。

3.访问控制。宽带接入服务器和宽带路由器是NGN接入的POP点，这个点是实施QoS与安全策略控制的关口，在这个关口上完成对用户的带宽限定、ACL访问权限设置、业务流量的报文过滤等功能。访问控制的实现采用动态QoS与安全策略控制技术，动态地根据用户当前的业务权限进行相应的QoS与安全控制，避免了用户对NGN网络的非法访问。

（二）构建与其它网络隔离的虚拟NGN业务网

1.城域网。对于建立IP城域网的运营商，可以通过FTTB+LAN、ADSL、专线（DDN）、HFC来接入用户的多种业务（语音、视频、数据），可以采用物理或逻辑接口（VLAN/PVC/DLCI）来隔离NGN业务和原有的数据业务，由城域网骨干/汇聚层将接入层不同的业务通过PE映射到骨干层中的MPLS VPN中或者通过策略路由器将不同的业务分流到对应业务网的路由器。

2.NGN用户接入网。NGN用户可以通过多种不同的接入方式接入到NGN网络，如通过AMG利用双绞线接入NGN，智能终端和IAD可以通过以太网、ADSL、HFC、专线等方式接入NGN。在NGN用户接入网络侧可以根据实际的网络接入方式和网络的实际情况采用某种接入网隔离技术把NGN业务与其它业务在接入网侧进行隔离。

（三）NGN网络内部的安全措施

通过对NGN虚拟业务网的隔离以及接入层对用户接入和业务使用的控制，可以基本消除来自其它网络和NGN用户方面的安全隐患，这时的安全隐患主要在NGN网络内部，虽然NGN网络内部属于运营商内部网络相对来说发生安全问题的可能性比较小，但还是有必要采取安全手段来保证NGN内部网络的安全。

网络安全的根源篇（6）

计算机和信息技术的飞速发展,网络安全也伴随着信息技术同步发展起来的。随着网络应用的不断增多,网络安全问题日益突出,已被信息社会的各个领域所重视,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。

一、网络安全的重要性

计算机安全是互联网的一个根本技术,它起源于纯粹学术上的好奇心,发展到现在已经演变成为一个十分重要的商业应用。在互联网上,任何企业或个人都无法忽略对安全的需求。网络上贸易机密、客户资料、金钱等被窃取的风险是真实存在的。由计算机安问题所造成的损失也可能是相当巨大的。例如ILOVEYOU病毒,据不完全统计,它在全球范围内造成的损失已高达100亿美元;其中生产上的损失占了绝大部分,同时它带来了其它间接的影响:顾客的流失、品牌和商誉上的损害,这些都是难以进行估计的。除此之外,新的问题将接踵而至。因为欧洲的国家都有严格的隐私法:如果公司或企业不采取相关措施来保护客户的隐私,他们将被追究法律责任。虽然在互联网上进行业务的同时伴随着如此大的风险,但是公司和企业并不会停止去利用这个平台。因为网络能给企业带来新的市场,新的客户,新的收入来源,甚至新的商业模式。这是具有相当巨大的诱惑力的,所以即便是存在这样的风险性,他们也会不断地在这个互联网环境里拓展自己的业务。正因如此,比起其它问题,计算机安全更加显得重要。

二、网络系统存在的主要问题

1、网络操作系统的漏洞

网络操作系统足网络协议和网络服务得以实现的最终载体之一,它不仅负责网络硬件设备的接口封装,同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性,决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。而且快速的软件升级周期,会造成问题软件的出现,经常会出现操作系统存在新的攻击漏洞。

2、网络系统设计的缺陷

网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下,还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。

3、计算机病毒

计算机病毒,简单来讲,其实就是一种可执行的计算机程序。和生物界的病毒类似,会寻找寄主将自身附着到寄主身上。除了自我复制外,某些病毒被设计成为具有毁坏程序、删除文件甚至重新格式化硬盘的能力。在网络中,病毒对计算机的安全构成极大威胁:与网络黑客内外配合。窃取用户口令及帐号等变化多端的方式。使企业网络无时无刻不面对病毒困扰。这也就是必须使计算机具备预防、检查和清除病毒能力的根本所在。病毒最成功之处在于其传播能力,传播能力越强,生存的机率就越大。当计算机病毒附着或感染某个文件或系统中的某个部分之后,就会传播给临近的项目。

三、加强网络安全防范技术

1、应用数据加密技术

数据加密技术是为了提高信息系统与数据的安全性和保密性,防止机密数据被非法破译而采用的主要技术手段之一。目前常用的加密技术分为对称加密技术和非对称加密技术。信息加密过程是由加密算法来实现的,两种加密技术所对应的算法分别是常规密码算法和公钥密码算法。

2、配置防火墙

所谓“防火墙”,是指一种将内部网和公众访问网分开的方法,它实际上是一种隔离技术,是一种由软件、硬件构成的系统,用来在两个网络之间实施接入控制策略。防火墙的功能有两个:一个“允许”,另一个是“阻止”。允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止非法用户的访问,防止他们随意更改、移动甚至删除网络上的重要信息。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。

3、网络主机的操作系统安全和物理安全措施

防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措拖。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全:同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。

4、加强内部网络管理人员以及使用人员的安全意识

很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。当计算机病毒对网上资源的应用程序进行攻击时.这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。

总之,网络安全不仅仅是技术问题,也是一个安全管理问题。必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等,做好计算机网络安全防范措施。

参考文献:

网络安全的根源篇（7）

计算机网络是一个开放、自由的空间，计算机网络在给人们带来方便快捷的同时，其开放性和自由性也带来了众多安全隐患，不仅影响了网络稳定运行和用户的正常使用，严重时会威胁到国家安全。因IT系统简单、漏洞较多，网络攻击普遍发生。特别是出于政治目的和经济利益，针对政府部门以及国防、金融、能源等重要部门或行业，有组织的大规模的持续性的网络攻击越来越频繁。中国已经成为全世界黑客宰割的“羔羊”。只要黑客的攻击不停止，网络信息安全的斗争也将一直持续。当网络信息资源成为国家和公众的生命线时，一旦信息网络遭到入侵和破坏，其后果所带来的经济损失无法估量，由此引起的经济、社会动荡更是让人不寒而栗。

(二)信息产业发展滞后带来国家安全威胁。

由于我国在信息产业领域起步较晚，国内一些重要信息系统、关键基础设施中的网络核心设备和关键软硬件长期依赖国外。全球网络根域名服务器为美国掌控;中国90%以上的高端芯片和智能操作系统依赖于美国。这些依赖于国外的核心信息技术产品或服务，一但遭到恶意破坏，我国政治、军事、经济、社会等方面情报就有可能被盗取、破坏，这无疑增大了经济安全的隐患，直接威胁到国家安全。随着云计算、大数据、智能化等网络信息化新兴产业的继续拓展，大数据泄露事件时有发生，这将使中国网络信息安全面临更多前所未有的严峻考验和挑战。

(三)网络犯罪与网络恐怖主义严重影响国家安全。

网络在迅速改变着这个世界，给社会和人们提供的便利越来越多，与此同时，网络违法犯罪活动也越来越猖獗，如利用网络散布破坏性病毒或设置“后门”程序;黑客攻击，偷窥、复制、更改或删除计算机信息;网络诈骗等网络违法犯罪呈现蔓延态势。网络无国界，不受物理时空的限制，跨国犯罪活动日益严重，给打击和防范带来极大挑战。近年来，互联网成为同网络安全保卫组织、反恐机构相互斗争的主要战场。北京天安门、昆明和乌鲁木齐火车站等地严重暴力恐怖袭击事件，严重破坏了社会秩序，危害人民群众的生命财产安全。网络恐怖主义，是恐怖主义发展的新趋势，没有哪个国家能够独善其身，其隐蔽、便利、廉价、远程，攻击范围广，将给人类社会带来更大的威胁。

二、加强信息网络安全防护，维护网络与国家安全

(一)推进网络安全和信息化法治进程。

尽管网络空间法治化面临严峻挑战，但始终改变不了依法治网的新常态。因此，必须要强化网络世界的法治思维，加强网络信息化领域的立法工作，执法工作，引导全社会遵纪守法，全方位推进网络安全和信息化法治进程，促进依法管网、依法上网、依法用网，维护国家安全，建设网络强国。党的十八届四中全会作出全面推进依法治国的重大决定，对我国网络空间治理提出了明确要求。《中共中央关于全面推进依法治国若干重大问题的决定》中明确提出，“要加强互联网领域立法，完善网络信息服务、网络安全保护、网络社会管理等方面法律法规。”在主持召开中央网络安全和信息化领导小组第一次会议时要求，“要抓紧制定立法规划，完善互联网信息内容管理、关键基础设施保护等法律法规，依法治理网络空间，维护公民合法权益”。

(二)构建以大数据为重点的信息安全保障体系，加快出台国家信息安全战略。

随着云计算、大数据等新一代信息技术的蓬勃发展，“数据窃取”和“大数据污染”频频出现，大数据的安全问题越来越受到高度重视。一是要在思想上高度重视大数据的安全;二是要从技术上把控大数据的安全。大数据是互联网安全的核心。建设以大数据为重点的信息安全保障体系，是网络安全的需要，也是国家安全的需要，必须要上升为国家意志，加快国家信息安全战略的出台。

(三)创新驱动核心技术的研发，捍卫国家“网络空间”。

维护网络信息安全最根本的就是要创新驱动发展，增强自主创新能力，掌握核心技术。具体讲，只有牢牢把握网络、计算、存储这三个重要环节以及操作系统与芯片这两个关键领域的核心技术研发，才能防止政治、经济以及军事等方面的重要数据或秘密被窃取、被泄露;才能从源头上捍卫我国的网络空间，维护国家安全。因此，必须加快改革创新和技术研发，加强核心技术自主创新和基础设施建设，维护国家安全，惠及民生。制定全面的信息技术、网络技术研究发展战略，特别要注重研究、制定发展与计算机网络相关的各类行业产品，如网络扫描监控技术、数据指纹技术、数据信息的恢复、网络安全技术等等，以自主知识产权掌握网络主动权。

(四)加强人才队伍建设，汇聚人才资源。

在中央网络安全和信息化领导小组第一次会议上强调，“网络信息是跨国界流动的，信息流引领技术流、资金流、人才流，信息资源日益成为重要生产要素和社会财富，信息掌握的多寡成为国家软实力和竞争力的重要标志。”因此，要把人才资源汇聚起来，努力打造一支政治思想好、技术业务精、忠诚可靠、甘于奉献、作风过硬的强大队伍，为在网络安全和信息化领域培养一大批创新型专家人才、尖子人才、领军人才。

(五)坚决严厉打击网络犯罪与网络恐怖主义，净化网络环境。

防范和打击网络犯罪、网络恐怖主义，关乎人民群众的切身利益，关乎世界和平与发展事业。在打击网络违法犯罪、网络恐怖主义活动上，需要从以下三个方面努力:一是集中警力，打集群战，重点突击，确保以最快速度，在最短时间内侦破网络违法犯罪或恐怖主义案件，捍卫人民群众的根本利益。二是建立国际协作机制，加强沟通与交流，携手共同打击网络犯罪及网络恐怖活动，净化网络环境，共筑牢固的安全防线，力争从根源上铲除恐怖主义。三是加强网络监管，加大宣传教育力度，普及网络安全知识，提高人民群众的安全防范意识，从源头上进行管控。

网络安全的根源篇（8）

1.概述

21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。

一个国家的信息安全体系实际上包括国家的法规和政策，以及技术与市场的发展平台。我国在构建信息防卫系统时，应着力发展自己独特的安全产品，我国要想真正解决网络安全问题，最终的办法就是通过发展民族的安全产业，带动我国网络安全技术的整体提高。

网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会个方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。

信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。

2.防火墙

网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统，提出了防火墙概念后，防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。

防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。

作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、型和监测型。

2.1.包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。

包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

2.2.网络地址转化—NAT

网络安全的根源篇（9）

引言

随着网络技术的发展，网络通信给人们的工作生活带来诸多便利，同时网络安全的问题也随着网络技术的发展而日益严重。网络通讯安全问题主要表现在信息的泄漏、篡改以及非法信息的流传和散播，还包括一些利用网络资源进行非法贸易等问题，网络通信安全问题可能给企业带来严重的经济损失，所以必须要引起我们我们的高度重视和关注。防火墙技术能提高系统的安全性，减少网络的不安全因素。在现如今的计算机时代，网络信息的安全尤为重要，我们对防火墙技术的要求也会越来越高。

一、网络信息安全的主要威胁

网络信息安全的威胁是多方面的，随着时间的变化而变化。这些威胁大致可以分为自然威胁和人为威胁。

自然威{可能来自各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等。这些非目的性事件，有时直接威胁到网络的安全，影响信息存储介质。

人为威胁是对网络的人为攻击。这些攻击都是通过搜索系统的弱点，以达到破坏、欺骗、窃取数据的目的，可能会造成经济和政治上无法估量的损失。网络安全的人为威胁主要分为以下几类：网络缺陷、黑客攻击病毒、资源管理不足和内部网络用户滥用网络源造成信息泄露[2]。

（一）影响计算机网络安全的因素

网络资源共享。资源共享是计算机网络应用的主要目的，但它为攻击者利用共享资源破坏系统安全提供了机会。随着互联网需求的不断增长，不可能完全隔离外部服务请求，并且很容易通过服务请求的机会获得网络数据包。

网络的开放性。互联网上的任何用户都非常方便地访问互联网上的信息资源，因此很容易得到一个企业、单位和个人的敏感信息[3]。

网络操作系统漏洞。网络操作系统是实现网络协议和网络服务的最终载体，它不仅负责网络硬件的接口，同时还提供所需的网络通信协议和服务程序。由于网络协议的复杂性，操作系统在实现过程中必然存在缺陷和漏洞。

网络系统设计中的缺陷。网络系统设计指的是拓扑结构的设计和各种网络设备的选择。网络设备、网络协议、网络操作系统的不合理将直接带来安全隐患。合理的网络设计在节约资源的情况下，也能保证更好的安全性。网络设计的不合理将对网络安全造成威胁。

恶意攻击。黑客是一种常见的网络攻击和病毒，这是最难以防范的网络安全的威胁因素。随着计算机教育的普及，这样的攻击越来越多，影响也越来越大[4]。

二、防火墙技术

（一）防火墙定义

防火墙是设置在不同网络或网络安全域之间的一系列部件的组合，根据网络安全策略控制（权限拒绝监听）访问网络信息流，本身具有较强的抗攻击能力。它是提供信息安全服务、保障网络信息安全的基础设施。理论上讲，防火墙是一个分离器、一个限制器、也是一个分析器，它可以监控内部网和Internet之间的所有活动，保证了内部网络的安全。

（二）防火墙的种类

防火墙技术可根据防范的方式和侧重点的不同，总体来讲分为两大类：分组过滤以及应用。

分组过滤（Packetfiltering）；作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号，协议类型等标志确定是否允许数据包通过[5]。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。

应用（ApplicationProxy）：也叫应用网关（ApplicationGateway），它作用在应用层，其特点是完全“阻隔”了网络通信流通过对每种应用服务编制专门的程序，实现监视和控制应用层通信流的作用，实际中的应用网关通常由专用工作站实现。

（三）防火墙技术原理

1、包过滤技术

包过滤是一种基于网络层的防火墙技术。根据一组过滤规则，检查IP分组以确定数据包是否通过。不符合IP地址要求的，将被防火墙过滤掉，从而保证网络系统的安全。该技术通常可以基于一些或所有以下的信息组IP包过滤：源IP地址；目的IP地址；TCP / UDP源端口；TCP / UDP目的端口。数据包过滤技术实际上是一种基于路由器的技术，其最大的优点是价格便宜，易于实现逻辑，易于安装和使用[6]。

2、技术

技术是另一种完全不同于包过滤技术的防火墙技术。其主要思想是在两个网络之间建立一个“中间检查点”，通过网络进行通信。“中间检查点”是服务器，在两个网络之间运行并检查网络之间的每个请求。当服务器接收用户请求时，它检查请求的有效性。如果是合法的，则请求转发到实际服务器并转发给用户。为应用程序服务编写服务器，在应用层中工作。

3、监视技术

这是第三代防火墙技术，融合了前两者的优点。网络通信可以在各级检测。用同包过滤技术，可以检测IP地址，端口号，以及TCP标签，过滤掉数据包。它允许客户信任和不信任的主机建立直接的联系，不依赖于相关的应用层、应用层数据，但在方法确定进口，这些算法通过已知的合法数据包模式比较导入数据包，因此理论上可以更多的应用级的数据包过滤。

状态监视器的监控模块支持多种协议和应用，可扩展应用和服务。此外，它还可以监视RPC和UDP端口的信息，并且数据包过滤和不支持这样的端口。这样，通过对各个层的监控，实现状态监控，达到网络安全的目的。目前，使用多状态监控防火墙，它对用户是透明的，在OSI顶部加密数据，不修改客户端程序，就没有必要为每个运行在防火墙上的服务添加一个。

结语

现如今，网络安全问题已引起世界各国的严密关注，随着计算机网络在人类生活各个领域的广泛应用，不断出现网络被非法入侵，重要资料被窃取等严重问题，网络、应用程序的安全漏洞越来越多，各种病毒泛滥成灾。这一切，对国家及众多商业公司造成巨大的经济损失，甚至危害到国家安全，加强网络安全管理已刻不容缓。

参考文献

[1]杨富国.网络通信安全及防火墙技术分析[J]. 信息通信，2013，（09）：139-140.

[2]李志平，张伟斌，郑昕，黄智英. 网络通信安全及防火墙技术浅析[J].中国新通信，2014，（21）：3-4.

[3]张瑞.计算机网络安全及防火墙技术分析[J].电脑知识与技术，2012，（24）：5787-5788.

网络安全的根源篇（10）

计算机网络安全策略是指在某个安全区域内，与安全活动有关的一套规则，由安全区域内的一个权威建立，它使网络建设和管理过程中的工作避免了盲目性，但在目前它并没有得到足够的重视。国际调查显示，目前55％的企业网没有自己的安全策略，仅靠一些简单的安全措施来保障网络安全。

计算机网络安全策略包括对企业各种网络服务的安全层次和权限进行分类，确定管理员的安全职责，如实现安垒故障处理．确定网络拓扑结构、入侵及攻击的防御和检测、备份和灾难恢复等。这里所说的安全策略主要涉及4个大的方面：物理安全策略、访问控制策略、信息加密策略和网络安全管理策略。

一、物理安全策略和访问控制策略

1、物理安全策略

制定安全策略的目的是保护路由器、交换机、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击；验证用户的身份和使用权限，防止用户越权操作；确保网络设备有一个良好的电磁兼容工作环境；建立完备的机房安全管理制度，妥善保管备份磁带和文档资料；防止非法人员进入机房进行偷窃和破坏活动。

2、访问控制策略

访问控制策略是网络安垒防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用，而访问控制策略可以认为是保证网络安全最重要的核心策略之一。

(1)入网访问控制

入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源。用户的入网访问控制可分为3个步骤：用户名的识别以验证、用户帐号的缺省限制检查。

(2)网络的权限控制

网络权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限，控制用户和用户组可以访问哪些目录、子目录、文件和其他资源，可以指定用户对这些文件、目录、设备能够执行哪些操作。可以根据访问权限将用户分为以下几类：特殊用户(即系统管理员)；一般用户，由系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。

(3)目录级安全控制

网络应能够控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有以下8种：系统管理员权限，也叫超级用户权限、主动权限、写权限、创建权限、删除权限、修改权限、文件查找、存取控制。

(4)属性安全控制

当使用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全。网络上的资源都应预先标出一组安全属性，网络的属性可以保护重要的目录和文件，防止用户对目录和文件的误删除，执行修改、显示等。

(5)网络服务器安全控制

计算机网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等。网络服务器的安全控制包括：可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息数据；可以设定服务器控登录时间限制、非法访问者检测和关闭的时间间隔。

(6)网络监测和锁定控制

计算机网络管理员对网络实施监控，服务器应记录用户对网络资源的访问。对非法的网络访问进行报警，以引起网络管理员的注意，并自动记录企图尝试进入网络的次数，如果非法访问的次数达到设定数值，那么该账户将被自动锁定。

(7)网络端口和节点的安全控制

网络中服务器的端口往往使用自动回呼设备和静默调制解调制器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还通常对服务器端采取安全限制，用户必须携带证实身份的验证器。在对用户的身份进行验证之后，才允许用户进入用户端。然后，用户端和服务端再进行相互验证。

(8)防火墙控制

防火墙是近十多年来发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进出方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离外部和内部网络，以阻止来自外部网络的侵入。

二、信息加密策略

信息加密的目的是保护网络的数据、文件、口令和控制信息，保护网络会话的完整性。网络加密可设在链路级、网络级，也可以设在应用级等，它们分别对应干网络体系结构中的不同层次形成加密通信通道。用户可以根据不同的需求，选择适当的加密方式。保护网络信息安全行之有效的技术之一就是数据加密策略。它是对计算机信息进行保护的最实用和最可靠的方法。

三、网络安全管理策略

网络安全管理策略是指在特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全，不仅要靠先进的技术，而且要靠严格控的管理和威严的法律。三者的关系如同安垒平台的三根支柱，缺一不可。网络安全管理策略包括：(1)确定安全管理等级和安全管理范围；(2)制定有关网络操作使用规程和人员出入机房管理制度；(3)制定网络系统的维护制度和应急措施等；安全管理的落实是实现网络安全的关键。

四、计算机网络物理安全管理

网络安全的根源篇（11）

1 服务器网络安全概述

服务器网络安全由服务器安全与网络安全同时构成，其是指服务器网络资源安全，即服务器网络信息系统资源和用户信息资源不被自然与非自然因素的威胁。服务器网络安全是指通过应用服务器系统管理措施和各种技术来使得网络系统可以正常运行，进而确保服务器网络资料可以正常传输、使用和保密。

2 服务器安全防护技术

2.1 系统访问IP过滤

基于服务器访问的IP过滤，实质上就是要对软件防火墙进行构建，对于那些经过服务器的IP 数据包进行过滤，对那些没有经过授权网站的访问以及某些比较特别的指定协议进行有效的控制。由于该技术需要对IP进行设置，因此其保护性高，但设置较为繁琐，对于过滤IP地址发送数据包一律禁止，对于服务器来说一般不适用。

2.2 入侵检测系统

入侵检测系统根据不同的分类标准，可以分为不同的类型。根据其提取的入侵数据的地点，将其分为两大类，即基于网络的入侵检测和基于服务器的入侵检测。这种方法获取的信息量大实时性高，但原始的信息包居多，分析量比较大。应用范围较小，并不会对威胁进行阻拦。主要针对利用操作系统和应用程序的漏洞及运行特征进行的攻击行为。

2.3 防火墙技术

防火墙可以配置成许多不同的级别，用户可以根据自己的需要来控制。防火墙能强化服务器网络安全，可以最大范围地记录互联网上的活动，防火墙还能防止暴露用户网络点，它还可以用来隔开网络中一个网段与其他网段的连接。但由于防火墙只是被动的进行对可疑数据进行阻拦，并没有主动去记录以及分析，因此其对于应用层的防御较为薄弱，对于新兴威胁无法阻拦。

2.4 加密技术

在需要使用加密技术的服务器网络的进出口处设置用于检查信息资源加密情况的网关，对内部网内出网的信息资源，规定其必须加盖保密印章标识，并对信息资源进行加密和检查；对无密级的文件，允许出关。驱动层加密由于其是对数据进行加密，因此其部署在数据库的最前方，但可能会对系统性能以及其他驱动产生影响，而在应用层进行加密则更容易被黑客寻找到漏洞。

2.5 服务器安全防护待解决问题

由于服务器网络安全需对服务器安全以及网络安全同时进行考虑，而由于这些防御技术其都是独立的，兼容性并不是很好。服务器安全与网络安全的防御技术很难进行有效结合，易被黑客分而破之。例如，当网络用户需要远程访问以及登入服务器系统时，最安全的服务器防护措施就是不允许其控制，这样可以避免大部分的黑客入侵。而这对系统管理员来说则不便捷。而如果允许登入，那么就很难确定访问者是不是用合法的方式登入，而一旦非法用户通过一些手段登入系统其就可以获得与管理员相当的权限，这样对于服务器来说威胁相当大。

现有的保护措施采用的技术基本是在服务器之外的，例如硬件防火墙，安全路由器以及其他一些保护手段难以获得实时的网络访问特性，且对外部环境依赖性大。而内置防火墙主要是对网络安全进行考虑，并没有过多去考虑服务器方面的安全，对于冒充管理员的的攻击方式无法进行很好防御。

3 服务器网络安全系统体系结构设计

随着现代社会对于网络的需求度不断增加，单一的安全防护措施已经不足以应付现有的安全问题，因此如何建立一个全面的安全系统体系已经成为如今网络安全的主要研究方向。

3.1 服务器网络安全系统体系结构构想

服务器网络安全中对用户进行的访问进行严格分类是最基本工作特点，其可以对访问资源类型分为外部资源访问与内部资源访问控制。在服务器网络安全系统体系结构模型中，外网安全检测其的作用与防火墙类似，是指通过按照用户设定的安全级别对来往数据包进行过滤。

内部系统资源中对于非用户级资源为了尽可能使其方便，可以在其通过外网安全检测后直接对资源进行访问。而对于用户级资源则需要其通过外网登入验证系统来进行进一步安全验证，这里可以使用通过对移动端发送验证请求使移动端产生一个随机验证码，通过在外网登入验证中输入验证码与移动端进行对比从而确定其是否为非法用户，对于通过验证的将访问请求发回登入端并调用其需要访问的用户级资源或权限。对于没有通过或非法绕过登入的服务器可以在无法抵御的情况下进行自动关机防止网络用户利用系统漏洞从而获取ROOT权限以及服务器资料。

网络用户对于外部资源的访问，通过外部资源访问控制器，通过对控制器进行设置，防止网络用户以本地服务器名义对其他服务器进行访问。

3.2 相关技术难点分析

服务器网络安全技术是对现有单一技术进行整合并推出一个尽可能全面的防护系统。其可以说是把防火墙技术以及入侵检测系统等一系列技术结合在一起，通过防护与检测的有效结合，来实现网络用户对于资源访问的有效控制。现如今，入侵检测系统以及防火墙技术都相当成熟，但如何就入侵检测系统以及防火墙技术在与操作系统有效结合起来进行工作却是如今网络安全技术的难题所在。比如，如何把外网登入系统与移动端口有效结合使用，如何终止网络用户对服务器的连接并同时拉入IP过滤名单中，如何实时监控网络用户是否在对访问服务器进行攻击。而要克服这些难题，必定会涉及到服务器中的主网络系统以及其他一些系统设置问题。这些问题对于现阶段处于外挂式的服务器网络安全系统来说还是及其困难的难题。

解决问题的办法有：

（1）把服务器网络安全系统内嵌至主系统中，这是最根本的解决方式。但它对主系统提供者的依赖度极高。

（2）对现有英特网协议栈进行修订与对服务器中软件进行设置，其相对应的嵌入防火墙技术与对资源进行细致化分类。其特点是可操作性强，实用性较高。但同时，其的工作量极为巨大。

参考文献

[1]李应勇，马玉春，李壮.网络环境下的主机信息安全研究[J].琼州学院学报，2011.

[2]胡卫红.浅谈网站主机的网络安全[J].计算机与网络，2013.

作者简介

张亮（1982-），硕士学位。现为南昌大学人民武装学院讲师。