计算机网络信息安全问题研究.doc

《计算机网络信息安全问题研究.doc》由会员分享，可在线阅读，更多相关《计算机网络信息安全问题研究.doc（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、. .本 科 生 毕 业 论 文（设计）题 目：计算机网络信息安全问题研究专 业：计算机信息管理考生XX：杜 国 森XX号： 2指导教师：舒老师（职 称）二一四年四月. .word. .学术诚信声明本人所呈交的毕业论文，是在导师的指导下，独立进行研究工作所取得的成果，所有数据、图片资料均真实可靠。除文中已经注明引用的内容外，本论文不包含任何其他人或集体已经发表或撰写过的作品或成果。对本论文的研究作出重要贡献的个人和集体，均已在文中以明确的方式标明。本毕业论文的知识产权归属于培养单位。本人完全意识到本声明的法律结果由本人承担。本人签名： 杜国森 日期： 2014-04-03摘要随着计算机信息化建

2、设的飞速发展，计算机和互联网已深入到社会的各个方面，它对人们的工作方式、生活方式甚至思维方式都产生了巨大的影响，因此，可以说互联网已经成为现代人生活中不可缺少的一部分。但是，人们在享受互联网所带来的愉悦的同时，也不可避免地受到一系列网络及信息安全问题的困扰：网络上充斥虚假信息、非法信息，病毒日益猖獗，黑客攻击无孔不入等，这些都严重危及个人、企事业单位乃至国家的信息安全。研究如何采取有效的方法来保护重要信息变得越来越有必要。在当今这样“数字经济”的时代，网络安全显得尤为重要，也受到人们越来越多的关注。本文立足于当前网路安全与信息保障的具体实践，并对计算机信息网络安全存在的问题进行深入剖析，并提出

3、相应的安全防X措施。深刻而全面地反映了现代网络安全与信息保障的新理论、新方法、新成果，充分揭示了网络安全与信息保障的新进展。关键词：计算机；网络；信息；安全；对策第一章前言1第二章计算机网络安全问题剖析32.1.计算机网络安全的定义32.2.计算机网络安全的现状32.2.1.国家信息安全保障能力弱52.2.2.信息系统自主化程度低52.2.3.企业自主研发能力不足62.3.计算机网络的不安全因素72.3.1计算机网络的脆弱性72.3.2操作系统存在的安全问题82.3.3数据库存储的内容存在的安全问题102.3.4防火墙的脆弱性112.3.5计算机病毒122.3.6其它方面的不安全因素12第三章

4、计算机网络安全的策略133.1.技术层面对策133.1.1.建立安全管理规X133.1.2.网络访问控制143.1.3.数据库的备份与恢复153.1.4.应用各种加密技术173.1.5.切断传播途径183.1.6.提高网络反病毒技术能力193.1.7.研发并完善高安全的操作系统203.2.管理层面对策203.3.物理安全层面对策213.3.1.计算机系统的环境条件213.3.2.机房场地环境的选择223.3.3.机房的安全防护23第四章计算机网络信息安全解决方案244.1.某大型企业网络安全解决方案实例244.2.网络安全需求分析244.2.1.网络层需求分析254.2.2.应用层需求分析26

5、4.3.安全管理策略284.3.1.内部安全管理284.3.2.网络安全管理284.3.3.应用层安全管理294.4.安全解决方案分析294.4.1.网络配置结构图294.4.2.公司总部安全配置294.4.3.产品配置说明304.4.4.内部网络安全管理制度制定31第五章结论33参考文献34致35附录36. .word. .第一章 前言20世纪40年代，随着计算机的出现，计算机安全问题也随之产生。随着计算机在社会各个领域的广泛应用和迅速普及，使人类社会步入信息化的时代，以计算机为核心的安全、XX问题越来越突出。20世纪70年代以来，在应用和普及的基础上，以计算机网络为主体的信息处理系统迅速发

6、展，计算机应用也逐步向网络化发展。网络化的信息系统是集通信、计算机和信息处理于一体的综合系统，是现代社会发展不可缺少的基础。计算机应用发展到网络阶段后，信息安全技术也得到了迅速发展，原有的计算机安全问题也增加了许多新的内容，带来了许多新的问题和困难，也给我们带来了新的挑战、新的机遇。和以前的计算机安全XX相比，计算机网络信息安全技术的问题要多得多，也复杂得多，涉及物理、硬件、软件、数据、传输、体系结构等各个方面。除了传统的安全XX理论、技术及单机的安全问题以外，计算机网络信息安全技术包括了计算机安全、通信安全、访问控制的安全，以及安全管理和法律制裁等方面的内容，并逐渐形成独立的学科体系。当今社

7、会是一个信息化的社会，计算机通信网络在政治、军事、金融、商业、交通、电力、电信、文教等多个方面的作用日益增大。社会对计算机网络的依赖也日益增强，尤其是计算机技术和通信技术相结合所形成的信息基础设施已经成为反映信息化社会特征最重要的基础设施。人们建立了各种各样完备的信息系统，使得人类社会的一些XX和财富高度集中于计算机中。但是这些信息系统都是依靠计算机网络接受和处理信息，实现其相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息化社会的一个重要特征。随着网络的开放性、共享性及互联程度的扩大，特别是Internet的出现，网络的重要性和对社会的影响也越来越大。随着网络上各种

8、新业务的兴起，例如电子商务（Electronic merce）、电子现金（Electronic Cash）、数字货币（Digital Cash）、网络银行（Network Bank）等的兴起，以及各种专用网（如金融网等）的建设，使得安全问题显得越来越重要，因此对网络信息安全的研究就成了现在计算机和通信界的一个热点。简单地说，在网络环境中的安全是指一种能够识别和消除不安全因素的能力。安全的一般性定义也必须解决保护财产的需要，包括信息和物理设备（如计算机和一些移动设备）。安全的想法也涉及适宜性和从属性概念。负责安全的如何一个人都必须决定谁在具体的设备上进行合适的操作，以及应该什么时候操作。当涉及公

9、司信息安全的时候怎样做才是适宜的，在公司与公司之间是不同的，但是任何一个具有网络的公司都必须具有一个解决适宜性、从属性和物理安全问题的安全政策。第二章 计算机网络安全问题剖析2.1. 计算机网络安全的定义计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的XX性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和罗辑安全。其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的XX性、完整性和可用性的保护。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的熟悉和要求也就不同

10、。从普通使用者的角度来说，可能仅仅希望个人隐私或XX信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾难、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有治理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。根据国家计算机网络应急技术处理协调中心的权威统计，通过分布式密网捕获的新的漏洞攻击恶意代码数

11、量平均每天112次，每天捕获最多的次数高达4369次。因此，随着网络一体化和互联互通，我们必须加强计算机通信网络安全防X意思，提高防X手段。2.2. 计算机网络安全的现状计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护，不受偶然或恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。计算机和网络技术具有的复杂性和多样性，使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类，而且许多攻击都是致命的。在Internet网络上，因互联网本身没有时空和地域的限制，每当有一种新的攻击手段产生，就能在一周内传遍全世界，这些攻击手

12、段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门、Rootkits、DOS和Sniffer是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力，时至今日，有愈演愈烈之势。这几类攻击手段的新变种，与以前出现的攻击方法相比，更加智能化，攻击目标直指互联网基础协议和操作系统层次。从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新，向用户的信息安全防X能力不断发起挑战。2013年6月，前中情局（CIA）职员爱德华斯诺登向媒体泄露了两份绝密资料，美国国家安全局和联邦调查局于2007年启动了一个代号为“棱镜”的秘密监控项目，直接进入美国网际网路公

13、司的中心服务器里挖掘数据、收集情报，包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。根据斯诺登披露的文件，PRISM计划能够对即时通信和既存资料进行深度的监听。许可的监听对象包括任何在美国以外地区使用参与计划公司服务的客户，或是任何与国外人士通信的美国公民。国家安全局在PRISM计划中可以获得的数据电子、视频和语音交谈、影片、照片、VoIP交谈内容、档案传输、登入通知，以及社交网络细节。综合情报文件“总统每日简报”中在2012年内在1，477个计划使用了来自PRISM计划的资料。美国国家安全局可以接触到大量个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据。美国政府证

14、实，它确实要求美国公司威瑞森（Verizon）提供数百万私人记录，其中包括个人的时长、通话地点、通话双方的。这就是著名的菱镜门事件。从目前公布证据显示，美国在全球进行了61000次的渗透行动，目标包括数百个个人以及机构，其中包括XX中文大学以及内地的一些目标。斯诺登声称从2009年开始，美国开始潜入内地和XX的政府官员、企业以及学生的电脑系统进行监控。美国政府网络入侵中国网络至少有四年时间，美国政府黑客攻击的目标达到上百个，成功率达到75%，中国已经成为该项计划中网络攻击最大的受害者，这也揭示了网络空间中美力量对比的基本态势。从真实情况看，中国的网络战能力相比美国，差距还非常大。“菱镜门”事件

15、只是这种差距的一个缩影。之所以我们和美国之间有如此大的差距，主要由以下几个方面：2.2.1. 国家信息安全保障能力弱美国今天的强大，除了历史原因和地缘优势外，还有一些因素不容忽视，那就是一贯的战略顶层设计和不被轻易阻断的执行。而这种战略顶层设计在信息产业的高速公路上也得到充分体现，其优势和企业能力在信息领域已形成足够的战略威慑力。与美国相比，我国只在2003年发布了国家信息化领导小组关于加强信息安全保障工作的意见。顶层战略设计的缺失，让政府对企业整体战略协作、支持、互动和响应能力严重不足，造成了我国在信息安全保障能力体系建设和能力建设方面和美国巨大的差距。2.2.2. 信息系统自主化程度低改革

16、开放30多年来，中国向全世界敞开怀抱，以市场换技术，但却并未在核心技术上有所突破，却被国外科技企业掌握着要害部位。据斯诺登透露，从2009年开始，“棱镜”项目对准了中国内地和XX的电脑系统，他们潜入政府、企业以及学校的电脑系统，进行秘密监视活动，美国政府网络入侵中国网络成功率高达75%，这与国内重要信息系统核心关键设备无法自主可控有密切关系。目前，中国在主机、网络设备、安全设备和云计算等方面对国外的依赖度很高。我国关键应用主机系统主要依赖进口，目前已建的重要信息系统几乎均为外国品牌，包括操作系统、数据库、中间件也基本在美国企业控制之下。它们依靠自己的路由器、交换机、主机设备、操作系统等信息系统

17、关键核心部件，几乎控制了中国互联网的咽喉，国内80%以上的信息流量，都经过它的产品计算、传输和存储。包括政府、海关、金融、教育、铁路、航天等系统，自主化水平都不高。而中国电信和中国联通的骨干网络、四大国有银行的数据中心，大部分都采用国外公司的产品。微软盗版黑屏事件、赛门铁克误杀事件都表明微软、Intel等美国公司在中国的信息系统内畅通无阻;而今天的棱镜门事件又进一步表明，不光科技公司可以畅通无阻，美国政府也可以通过这些公司的帮助在我们的信息系统中为所欲为。多年来，美国始终实际掌控着全球互联网的绝对话语权，这是众所周知的事实。反观中国，我们对外依赖度却变得越来越高。棱镜门事件彻底粉碎了相当一部分

18、人所谓“技术无国界”的XX世界理想，在人类社会还是以利益为核心建立团体的情况下，信息网络与现实社会相同，都存在为谁所用和为谁所控的根本问题。在信息产业的高速公路上，如果我们继续甘心于依赖别国，就很有可能成为温水中被煮的青蛙，在毫无知觉中渐渐耗尽自己防御的能力。2.2.3. 企业自主研发能力不足“棱镜门”事件凸显了信息系统“自主可控”的紧迫性。数据显示，我国每年进口的半导体产品总额约为1300亿美元，信息网络城门洞开。出现这一局面，最关键还在于自身功夫不扎实，尤其是核心技术落后于人。这次窃听事件曝光后，美国政府依然表现得很强势，甚至反咬一口，将斯诺登说成是中国的“间谍”，这就折射出中国在核心技术

19、层面上的积弱局面，甚至对美国患上了严重的“依赖症”。 “棱镜”计划被爆出，还让我们看到，美国政府部门和私营企业在关键战略产业上的完美协作，既维护了国家安全，又在国家安全产业上赢得了商业利益，这对我们而言是一个巨大的挑战，但又何尝不是一个很好的示X。我们也欣喜的看到，包括浪潮在内的一些国内知名IT企业借助“863”、“核高基”等国家大型科研计划的资金支持，通过自主研发，已经在硬件板卡、系统固件、操作系统以及系统维护管理等各个方面实现了安全可控，系统整体指标达到国际同类设备水平，部分功能技术指标国际领先，可以消除使用国外主机带来的绝大部分安全隐患。作为与国家安全更加紧密相关的信息行业，加强管理和准

20、入控制显然更为迫切，相信国家和企事业单位应在以前的基础上，进一步加强关键核心设备的国产化步伐。同时也应像中国厂商难以在美国取得一席之地一样，加强对国外厂商和设备的管控，提高准入门槛。“棱镜门”事件进一步证明了国家大力推行信息化“自主可控”的必要性和紧迫性，国家应从战略层面认知和规划中国在全球网络空间的利益，加强统筹规划和我国网络信息安全体系顶层设计，整合并提升中国的技术能力，进一步提高对我国的基础网络和重要信息系统安全保障水平;国家重要关键信息系统应对现有设备属性进行统计并进行安全性加固，在今后的国家信息基础设施和关键业务网络的建设上，多采购自主可控产品，同时对现有给国家安全造成威胁的国外设备

21、逐渐替换，以免受制于人;国内IT企业应该继续加快推进信息安全技术、产品与服务的自主可控水平，通过市场化加快自主创新，力争在一些重点关键技术领域取得突破。92.3. 计算机网络的不安全因素对计算机信息构成不安全的因素很多，其中包括人为的因素、自然的因素和偶发的因素。其中，人为因素是指，一些不法之徒利用计算机网络存在的漏洞，或者潜入计算机房，盗用计算机系统资源，非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素。计算机网络不安全因素主要表现在以下几个方面：2.3.1 计算机网络的脆弱性互联网是对全世界都开放的网络，任何单位或个人都可以在网上方

22、便地传输和获取各种信息，互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。互联网的不安全性主要有以下几项：1) 络的开放性：网络的技术是全开放的，使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击，或是来自对网络通信协议的攻击，以及对计算机软件、硬件的漏洞实施攻击。2) 络的国际性：意味着对网络的攻击不仅是来自于本地网络的用户，还可以是互联网上其他国家的黑客，所以，网络的安全面临着国际化的挑战。3) 络的自由性：大多数的网络对用户的使用没有技术上的约束，用户可以自由的上网，发布和获取各类信息。 网络攻击也称为网络入侵，是指网络系统内部发生的任何违反安全策略的事件，

23、这些事件可能来自于系统外部，也有可能来自于系统内部；可能是故意的，也有可能是无意偶发的。网络安全面临的最大问题就是认为的恶意攻击。认为的恶意攻击包括：被动攻击和主动攻击。n 被动攻击是指攻击者不影响网络和计算机系统正常工作，从而窃听、截获正常的网络通信和系统服务过程，并对截获的数据信息进行分析，获得有用的数据，以达到其攻击目的。被动攻击的特点是难于发觉。一般来说，在网络和计算机系统没有出现任何异常的情况下，是没有人会关心发生过什么被动攻击的。n 主动攻击是指攻击者主动侵入网络和计算机系统，参与正常的网络通信和系统服务过程，并在其中发挥破坏作用，已达到其攻击的目的。主动攻击的种类极多，新的主动攻

24、击手段也在不断涌现。攻击者进行身份假冒攻击要实现的是冒充正常用户，欺骗网络和系统服务的提供者，从而获得非法权限和敏感数据的目的；身份窃取攻击是要取得用户的真正身份，以便为进一步攻击做准备；错误路由攻击是指在攻击者修改路由器中的路由表，将数据引到错误的网络或安全性较差的机器上来；重放攻击是指在监听到正常用户的一次有效操作后，将其记录下来，然后对这次操作进行重复，以期获得与正常用户同样的对待。计算机病毒攻击的手段出现得更早，其种类繁多，影响X围广。不过以前的病毒多是毁坏计算机内部的数据，使计算机瘫痪。现在在某些病毒已经与黑客程序结合起来，被黑客利用来窃取用户的敏感信息，危害更大了。网络软件不可能是

25、百分之百的无缺陷和无漏洞的。然而，这些缺陷和漏洞恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”被打开，其造成的后果将是不堪设想的。102.3.2 操作系统存在的安全问题操作系统是作为一个支撑软件，使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能，主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性，系统开发设计的不周而留下的破绽，都给网络安全留下隐患。1) 操作系统结构体系的缺陷。操作系

26、统本身有内存管理、CPU管理、外设的管理，每个管理都涉及到一些模块或程序，如果在这些程序里面存在问题，比如内存管理的问题，外部网络的一个连接过来，刚好连接一个有缺陷的模块，可能出现的情况是，计算机系统会因此崩溃。所以，有些黑客往往是针对操作系统的不完善进行攻击，使计算机系统，特别是服务器系统立刻瘫痪。2) 操作系统支持在网络上传送文件、加载或安装程序，包括可执行文件，这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能，比如FTP，这些安装程序经常会带一些可执行文件，这些可执行文件都是人为编写的程序，如果某个地方出现漏洞，那么系统可能就会造成崩溃。像这些远程调用、文件传输，如果生产

27、厂家或个人在上面安装间谍程序，那么用户的整个传输过程、使用过程都会被别人监视到，所有的这些传输文件、加载的程序、安装的程序、执行文件，都可能给操作系统带来安全的隐患。所以，建议尽量少使用一些来历不明，或者无法证明它的安全性的软件。3) 操作系统不安全的一个原因在于它可以创建进程，支持进程的远程创建和激活，支持被创建的进程继承创建的权利，这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上，特别是“打”在一个特权用户上，黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。4) 操作系统有些守护进程，它是系统的一些进程，总是在等待某些事件

28、的出现。所谓守护进程，比如说用户有没按键盘或鼠标，或者别的一些处理。一些监控病毒的监控软件也是守护进程，这些进程可能是好的，比如防病毒程序，一有病毒出现就会被捕抓到。但是有些进程是一些病毒，一碰到特定的情况，比如碰到7月1日，它就会把用户的硬盘格式化，这些进程就是很危险的守护进程，平时它可能不起作用，可是在某些条件发生，比如7月1日，它才发生作用，如果操作系统有些守护进程被人破坏掉就会出现这种不安全的情况。5) 操作系统会提供一些远程调用功能，所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序，可以提交程序给远程的服务器执行，如telnet。远程调用要经过很多的环节，中间的通讯

29、环节可能会出现被人监控等安全的问题。6) 操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段，程序员利用软件的后门程序得以便利修改程序设计中的不足。一旦后门被黑客利用，或在发布软件前没有删除后门程序，容易被黑客当成漏洞进行攻击，造成信息泄密和丢失。此外，操作系统的无口令的入口，也是信息安全的一大隐患。2.3.3 数据库存储的内容存在的安全问题在信息化时代来临、互联网高速发展的今天，信息资源的经济价值和社会价值越来越明显，越来越多的信息需要处理及交流，而处理信息最有效的工具是数据库应用系统。数据库最突出的特点之一就是数据共享，数据共享给数据库应用

30、带来了众多的好处，但同时也给数据库的安全性带来了严重的问题。特别是基于网络的分布式数据库系统。分布式数据库系统所管理、存储的数据是各个部门宝贵的信息资源。建设以数据库为核心的信息系统和应用系统，对于提高企业的效益、改善部门的管理、改进人们的生活均具有实实在在的意义。为了保证信息系统和应用系统的顺利运行，保证数据库的安全是非常必要的。数据库管理系统大量的信息存储在各种各样的数据库里面，包括我们上网看到的所有信息，数据库主要考虑的是信息方便存储、利用和管理，但在安全方面考虑的比较少。例如：授权用户超出了访问权限进行数据的更改活动；非法用户绕过安全内核，窃取信息。对于数据库的安全而言，就是要保证数据

31、的安全可靠和正确有效，即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取；数据库的完整性是防止数据库中存在不符合语义的数据。数据库安全性包括两个方面的内容：数据库数据的XX性和安全性。数据库数据的XX性指有个人或者集团组织控制属于他们自己的数据。数据库数据的安全性是指数据库中数据的有意或无意的泄露、更改和丢失的保护能力，以及防止对数据库数据的不合法使用的能力。 数据库的安全问题可归纳为以下几个方面：1) 保障数据库数据的完整性 1保障数据库物理存储介质及物理运行环境的正确与不受侵害的物理完整性；保障数据库实体完整性、域完整性和引用完整性的逻辑完整性；保障各客体数据元素的合法

32、性、有效性、正确性、一致性、可维护性以及防止非授权读取、修改与破坏。 2) 保障数据库数据的XX性数据库系统的用户身份鉴别，保护每个用户是合法的，并且是可以识别的；数据库系统的访问控制，即控制用户对数据对象的访问，拒绝非授权访问，防止信息泄露和破坏；数据库对推理攻击的防X。数据库中存放的数据往往具有统计意义，入侵者往往可以利用已公开的、安全级别低的数据。来判断出安全级别高的数据；数据库系统的可审计行；防止数据库系统中的隐蔽信道攻击；数据库数据的语义XX性。2.3.4 防火墙的脆弱性随着科学技术的快速发展，网络技术的不断发展和完善，在当今信息化社会中， 生活和工作中的许多数据、资源和信息都通过计

33、算机系统来存储和处理，伴随着网络应用的发展。这些信息都要通过网络来传送、接收和处理，所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络安全，人们提出了许多手段和方法，采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），它通过控制和检测网络之间的信息交换和访问行为来实施对网络安全的有效管理，防火墙常常被安装在受保护的内部网络连接到Internet的节点上，它

34、对传输的数据包和连接方式按照一定的安全策略对其进行检查，来决定网络之间的通信是否被允许。防火墙能有效地控制内部网络与外部网络之间的访问及数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和对不良信息的过滤。但防火墙只能提供网络的安全性，不能保证网络的绝对安全，并不要指望防火墙靠自身就能够给予计算机安全。因为它也有自身的局限性，它无法防X来自防火墙以外的其它途径所进行的攻击。例如在一个被保护的网络上有一个没有限制的拨号访问存在，这样就为从后门进行攻击留下了可能性；另外，防火墙也不能防止来自内部变节者或不经心的用户所带来威胁，若是内部的人和外部的人联合起来，即使防火墙再强，也是没有优势的

35、；同时防火墙也不能解决进入防火墙的数据带来的所有安全问题，如果用户抓来一个程序在本地运行，那个程序可能就包含一段恶意代码，可能会导致敏感信息泄露或遭到破坏，它甚至不能保护你免受所有那些它能检测到的攻击。随着技术的发展，还有一些破解的方法也使得防火墙造成一定隐患。2.3.5 计算机病毒计算机病毒（puter Virus）在中华人民XX国计算机信息系统安全保护条例中的定义是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。病毒必须满足一下两个条件：1) 必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中。2) 必须能

36、自我复制。它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染个人计算机也可以感染网络服务器。此外，病毒往往还 很强的感染性、一定的潜伏性、特定的触发性和很大的破坏性等，由于计算机所具有的这些特点与生物学上的病毒有相似之处，因此人们才将这种恶意程序代码成为计算机病毒。一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机系统。有些病毒不损坏计算机系统，而只是复制自身，并通过显示文本、视频和音频消息表明它们的存在。即使这些良性病毒也会给计算机用户带来问题。通常它们会占据合法程序使用的计算机内存。结果会引起操作异常，甚至导致系统崩溃。另外，许多病毒包含大量的错误，这些错误可能

37、会导致系统崩溃和数据丢失。2.3.6 其它方面的不安全因素计算机系统硬件和通讯设施极易遭受到自然环境的影响，如：各种自然灾害（如地震、泥石流、水灾、风暴、建筑物破坏等）对计算机网络构成威胁。还有一些偶发性因素，如电源故障、设备的机能失常、软件开发过程中留下的某些漏洞等，也对计算机网络构成严重威胁。此外管理不好、规章制度不健全、安全管理水平较低、操作失误、渎职行为等都会对计算机网络信息安全造成威胁。第三章 计算机网络安全的策略3.1. 技术层面对策对于技术方面，计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来，技术层

38、面可以采取以下对策：3.1.1. 建立安全管理规X安全管理的主要功能是指安全设备的管理；监视网络危险情况，对危险进行隔离，并把危险控制在最小的X围内；身份认证，权限设置；对资源的存取权限的管理；对资源或用户动态的或静态的审计；对违规事件，自动生成事件消息；管理（如操作员的口令），对无权操作人员进行控制；密匙管理，对于与密匙有关的服务器，应对其设置密匙生命期、密匙备份等管理功能；冗余备份，为增加网络的安全系数，对于关键的服务器应冗余备份。安全管理应该从管理制度和管理平台技术两个方面来实现，安全管理产品尽可能地支持统一的中心控制平台。为了保护网络的安全性，除了在网络设计上增加安全服务功能，完善系统

39、的安全XX措施外，安全管理策略也是网络安全所必需的。安全管理策略一方面从纯粹的管理上即安全管理规X来实现，另一方面从技术上建立高效的管理平台（包括网络管理和安全管理）。安全管理策略主要有：定义完善的安全管理模型；建立长远的并且可实施的安全策略；彻底贯彻规X的安全防X措施；建立恰当安全评估尺度，并且进行经常性的规则审核。当然，还需要建立高效的管理平台。面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全XX措施外，还必须花大力气加强网络安全管理规X的建立，因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的基本问题，所以应引起各计算机网络应

40、用部门的重视。网络信息系统的安全管理主要基于3个原则：1) 多人负责原则：每一项与安全有关的活动，都必须有两个人或多人在场。这些人是系统主要领导指派的，他们忠诚可靠，能胜任此项工作；他们应该签署工作情况记录以证明安全工作已得到保障。具体的活动有：访问控制使用证件的发放与回收；信息处理系统使用的媒介发放与回收；处理XX信息；硬件和软件的维护；系统软件的设计、实现和修改；重要程序和数据的删除和销毁等。2) 任期有限原则：一般地讲，任何人最好不要长期担任与安全有关的职务，以免使他（她）认为这个职务是专有的或永久的。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行

41、轮流培训，以使任期有限制度切实可行。3) 职责分离原则：在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准，出于对安全的考虑，下面每组内的两项信息处理工作应当分开。计算机操作与计算机编程；XX资料的接收和传送；安全管理和系统管理；应用程序和系统程序；访问证件的管理与其他工作；计算机操作与信息处理系统使用媒介的保管。：冗能期3.1.2. 网络访问控制访问控制是网络安全防X和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。共享网络就意味着风险：病毒侵入、数据被盗和网络瘫痪等，利用网络访问控制技术可以有

42、效防X，确保网络安全。如今数据被盗肆虐，蠕虫和病毒横行，为了适应网络安全，选择网络访问控制（NAC)技术构建网络成为必然。然而，网络访问控制并不简单，它含义深奥并包含一整套的方法。对网络访问控制的政策执行与公司的业务流程密切相关。比如说一些餐馆的无线网络就是最简单的网络访问控制体系，顾客在接入网络之前就必须接受相关的协议。这只是网络访问控制最简单的例子，这些餐馆提供最简单的增值服务上网。然而对其他环境如医院，这样的协议就过于简单了。要为你的网络选择正确的网络访问控制类型，要知道两个前提条件。第一，要清楚网络访问控制所提供的服务，怎样提供这些服务，以及如何把这些服务纳入网络。第二，就是要有明确的

43、、可执行的安全访问策略。网络访问控制不是创造策略，而是执行策略。没有这两点，公司网络安全问题仍旧会被认为仅仅是IT部门的职责3.1.3. 数据库的备份与恢复数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。数据库的安全性（Security）是指保护数据库，防止不合法的使用，以免数据的泄露、被更改或破坏。数据库的安全性问题常与数据库的完整性问题混淆。安全性是保护数据以防止非法用户故意造成的破坏；而完整性是保护数据以防止合法用户无意中造成的破坏。也就是安全性确保用户被限制在做其想做的事情；而完整性确保用户所做的事情是正确的。为了保护数据库，防止故意的破坏，可以在从低到高的五个级别上

44、设置各种安全措施：1) 环境级：计算机系统的机房和设备应加以保护，防止有人进行物理破坏；2) 职员级：工作人员应清正廉洁，正确授予用户访问数据库的权限；3) OS级：应防止未授权用户从OS处着手访问数据库；4) 网络级：由于大多数DBS都允许用户通过网络进行远程访问，因此，网络软件内部的安全性是很重要的。5) DBS级：DBS的职责是检查用户的身份是否合法及使用数据库的权限是否正确。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有以下几种主要备份策略：1) 数据备份：是指将计算机硬盘上的原始数据（程序）复制到可移动媒体（Removable Medi

45、a）上从而保护计算机的系统数据和应用数据。2) 数据归档：是指将硬盘数据复制到可移动媒体上，与数据备份不同的是，数据归档在完成复制工作后会将原始数据从硬盘上删除，释放硬盘空间，数据归档一般是对与年度或某一项目相关的数据进行操作，在一年结束或某一项目完成时将其相关数据存到可移动媒体上，以备日后查询和统计，同时释放宝贵的硬盘空间。3) 在线备份：是指对正在运行的数据库或应用进行备份，通常对打开的数据库和应用是禁止备份操作的，然而现在很多的计算机应用系统要求24小时运作（如银行ATM业务）,因此要求数据存储管理软件能对在线的数据库和应用进行备份。4) 全备份：是备份策略的一种，执行数据全部备份操作。5) 离线备份：指在数据库关闭后对其数据进行备份，离线备份通常采用全备份。6) 增量备份：是相对于全备份而言的，是备份策略的一种，只备份上一次备份后的改变量。7) 并行技术：是指将不同的数据源同时备份/恢复到同一个备份设备/硬盘上。并行技术是考察数据存储管理软件性能的一个重要参数，有些厂商的软件只能支持并行备份，而有的厂商则可以实现并行备份及恢复；并且，真正有效的并行技术可以充分利用备份设备的备份速度（宽带）,实现大数据量有限时间备份