淺析計(jì)算機(jī)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)與防范技術(shù)

1、. . . . 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)與防技術(shù) 湯祖軍摘要：隨著計(jì)算機(jī)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用已經(jīng)涉與到了社會(huì)的方方面面，在帶來(lái)了前所未有的海量信息的同時(shí)，網(wǎng)絡(luò)的開(kāi)放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性。人們可以通過(guò)互聯(lián)網(wǎng)進(jìn)行網(wǎng)上購(gòu)物、銀行轉(zhuǎn)賬等許多商業(yè)活動(dòng)。開(kāi)放的信息系統(tǒng)必然存在眾多潛在的安全隱患：木馬程序攻擊、電子欺騙、間諜惡意代碼軟件、安全漏洞和系統(tǒng)后門(mén)等，本文針對(duì)目前計(jì)算機(jī)網(wǎng)絡(luò)存在的主要威脅和隱患進(jìn)行了分析，并重點(diǎn)闡述了幾種常用的網(wǎng)絡(luò)安全防技術(shù)。關(guān)鍵詞：網(wǎng)絡(luò)安全、網(wǎng)絡(luò)攻擊、安全風(fēng)險(xiǎn)、防技術(shù)1.引言計(jì)算機(jī)的廣泛應(yīng)用把人類帶入了一個(gè)全新的時(shí)代，特別是計(jì)算機(jī)網(wǎng)絡(luò)的普與化

2、，已經(jīng)成為了信息時(shí)代的主要推動(dòng)力。開(kāi)放性的網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)所面臨的破壞和攻擊可能是多方面的，例如:可能來(lái)自物理傳輸線路的攻擊，可能來(lái)自對(duì)電磁泄漏的攻擊、可能來(lái)自對(duì)網(wǎng)絡(luò)通信協(xié)議實(shí)施的攻擊，可能對(duì)系統(tǒng)軟件漏洞實(shí)施的攻擊等等。在諸多不安全因素的背景下，安全技術(shù)作為一個(gè)獨(dú)特的領(lǐng)域越來(lái)越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。進(jìn)入21世紀(jì)以來(lái)，網(wǎng)絡(luò)安全的重點(diǎn)放在了保護(hù)信息，確保信息在存儲(chǔ)、處理、傳輸過(guò)程中與信息系統(tǒng)不被破壞，確保對(duì)合法用戶的服務(wù)和限制非授權(quán)用戶的服務(wù)，以與必要的防御攻擊的措施。確保信息的性、完整性、可用性 、可控性就成了關(guān)鍵因素。為了解決這些安全問(wèn)題，各種安全機(jī)制、安全策略和安全工具被開(kāi)發(fā)和應(yīng)用。2.網(wǎng)

3、絡(luò)安全 由于早期網(wǎng)絡(luò)協(xié)議對(duì)安全問(wèn)題的忽視，以與在平時(shí)運(yùn)用和管理上的不重視態(tài)度，導(dǎo)致網(wǎng)絡(luò)安全造到嚴(yán)重的風(fēng)險(xiǎn)，安全事故頻頻發(fā)生。網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件和系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞，更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行。目前影響網(wǎng)絡(luò)安全的因素主要包括病毒軟件、蠕蟲(chóng)病毒、木馬軟件和間諜軟件等。病毒軟件：是可執(zhí)行代碼，它們可以破壞計(jì)算機(jī)系統(tǒng)，通常偽裝成合法附件通過(guò)電子發(fā)送，有的還通過(guò)即時(shí)信息網(wǎng)絡(luò)發(fā)送。蠕蟲(chóng)病毒：與病毒軟件類似，但比病毒更為普遍，蠕蟲(chóng)經(jīng)常利用受感染系統(tǒng)的文件傳輸功能自動(dòng)進(jìn)行傳播，從而導(dǎo)致網(wǎng)絡(luò)流量大幅增加。木馬程序：可以捕捉密碼和其它個(gè)人信息，使未授權(quán)遠(yuǎn)

4、程用戶能夠訪問(wèn)安裝了特洛伊木馬的系統(tǒng)。間諜軟件：則是惡意病毒代碼，它們可以監(jiān)控系統(tǒng)性能，并將用戶數(shù)據(jù)發(fā)送給間諜軟件開(kāi)發(fā)者。網(wǎng)絡(luò)信息安全分為網(wǎng)絡(luò)安全和信息安全兩個(gè)層面。網(wǎng)絡(luò)安全包括系統(tǒng)安全，即硬件平臺(tái)、操作系統(tǒng)、應(yīng)用軟件；運(yùn)行服務(wù)安全，即保證服務(wù)的連續(xù)性、高效率。信息安全則主要是指數(shù)據(jù)安全，包括數(shù)據(jù)加密、備份、程序等。目前，操作系統(tǒng)和應(yīng)用軟件常都會(huì)存在一些BUG，別有心計(jì)的員工或客戶都可能利用這些漏洞向網(wǎng)絡(luò)發(fā)起進(jìn)攻，導(dǎo)致某個(gè)程序或網(wǎng)絡(luò)喪失功能。有甚者會(huì)盜竊數(shù)據(jù)，直接威脅網(wǎng)絡(luò)和數(shù)據(jù)的安全。即便是安全防設(shè)備也會(huì)存在這樣的問(wèn)題。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布，程序員在修改已知BUG的同時(shí)還可能產(chǎn)生

5、新的BUG。系統(tǒng)BUG經(jīng)常被黑客利用，而且這種攻擊通常不會(huì)產(chǎn)生日志，也無(wú)據(jù)可查?，F(xiàn)有的軟件和工具BUG的攻擊幾乎無(wú)法主動(dòng)防。3.網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)因素網(wǎng)絡(luò)安全是一個(gè)非常關(guān)鍵而又復(fù)雜的問(wèn)題。計(jì)算機(jī)網(wǎng)絡(luò)安全指計(jì)算機(jī)信息系統(tǒng)資產(chǎn)的安全，即計(jì)算機(jī)信息系統(tǒng)資源(硬件、軟件和信息)不受自然和人為有害因素的威脅和危害。計(jì)算機(jī)網(wǎng)絡(luò)之所以存在著脆弱性，主要是由于技術(shù)本身存在著安全弱點(diǎn)、系統(tǒng)的安全性差、缺乏安全性實(shí)踐等；計(jì)算機(jī)網(wǎng)絡(luò)受到的威脅和攻擊除自然災(zāi)害外，主要來(lái)自軟件漏洞、計(jì)算機(jī)病毒、黑客攻擊、配置不當(dāng)和安全意識(shí)不強(qiáng)等。計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅主要來(lái)自于以下幾個(gè)方面：（1）軟件漏洞。每一版本的操作系統(tǒng)或網(wǎng)絡(luò)軟件的出現(xiàn)

6、都不可能是完美無(wú)缺和無(wú)漏洞的。大多數(shù)IT安全事件(如補(bǔ)丁程序或網(wǎng)絡(luò)攻擊等)都與軟件漏洞有關(guān)，黑客利用編程中的細(xì)微錯(cuò)誤或者上下文依賴關(guān)系，讓它做任何他們想讓它做的事情。緩沖區(qū)溢出是一種常見(jiàn)的軟件漏洞，也是一種牽扯到復(fù)雜因素的錯(cuò)誤。開(kāi)發(fā)人員經(jīng)常預(yù)先分配一定量的臨時(shí)存空間，稱為一個(gè)緩沖區(qū)，用以保存特殊信息。如果代碼沒(méi)有仔細(xì)地把要存放的數(shù)據(jù)大小同應(yīng)該保存它的空間大小進(jìn)行對(duì)照檢查，那么靠近該分配空間的存就有被覆蓋的風(fēng)險(xiǎn)。熟練的黑客輸入仔細(xì)組織過(guò)的數(shù)據(jù)就能導(dǎo)致程序崩潰、數(shù)據(jù)丟失。（2）黑客的威脅和攻擊。由于用戶越來(lái)越多地依賴計(jì)算機(jī)網(wǎng)絡(luò)提供各種服務(wù)，完成日常業(yè)務(wù)，計(jì)算機(jī)網(wǎng)絡(luò)上的黑客攻擊事件越演越烈，造成的破

7、壞影響越來(lái)越大。由于攻擊技術(shù)的進(jìn)步，攻擊者可以較容易地利用分布式攻擊工具能夠有效地發(fā)動(dòng)拒絕服務(wù)攻擊，掃描潛在的受害者，危害存在安全隱患的系統(tǒng)。 黑客攻擊的技術(shù)根源是軟件和系統(tǒng)的安全漏洞，正是一些別有用心的人利用了這些漏洞，才造成了網(wǎng)絡(luò)安全問(wèn)題。因?yàn)椴僮飨到y(tǒng)、應(yīng)用軟件等安全漏洞每年都會(huì)被發(fā)現(xiàn)，需要網(wǎng)絡(luò)管理員不斷的用最新的軟件補(bǔ)丁修復(fù)這些漏洞，然而黑客經(jīng)常能夠搶在廠商修補(bǔ)這些漏洞之前發(fā)現(xiàn)這些漏洞并發(fā)起攻擊，非法侵入重要信息系統(tǒng)，竊聽(tīng)、獲取、攻擊侵人網(wǎng)的有關(guān)敏感性重要信息，修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài)，造成數(shù)據(jù)丟失或系統(tǒng)癱瘓，給社會(huì)造成重大影響和經(jīng)濟(jì)損失。（3）計(jì)算機(jī)病毒。是一種在人為或非人為的

8、情況下產(chǎn)生的、在用戶不知情或未批準(zhǔn)下，能自我復(fù)制或運(yùn)行的計(jì)算機(jī)程序；計(jì)算機(jī)病毒往往會(huì)影響受感染計(jì)算機(jī)的正常運(yùn)作。病毒一般會(huì)自動(dòng)利用電子傳播，利用對(duì)象為某個(gè)漏洞。將病毒自動(dòng)復(fù)制并群發(fā)給存儲(chǔ)的通訊錄成員。計(jì)算機(jī)感染上病毒后，輕則使系統(tǒng)上作效率下降，重則造成系統(tǒng)死機(jī)或毀壞，使部分文件或全部數(shù)據(jù)丟失，甚至造成計(jì)算機(jī)主板等部件的損壞。（4）垃圾和間諜軟件。一些有心人會(huì)從網(wǎng)上多個(gè)BBS論壇、新聞組等收集網(wǎng)民的計(jì)算機(jī)地址，再售予廣告商，從而把自己的電子強(qiáng)行“推入”別人的電子，強(qiáng)迫他人接受賺錢(qián)信息、商業(yè)或個(gè)人廣告、電子雜志、連環(huán)信息等。垃圾可以分為良性和惡性的。良性垃圾是各種宣傳廣告等對(duì)收件人影響不大的信息。

9、惡性垃圾是指具有破壞性的電子。例如具有攻擊性的廣告：夸不實(shí)，包括情色、釣魚(yú)。間諜軟件是一種能夠在在用戶不知情或未經(jīng)用戶準(zhǔn)許的情況下收集用戶的個(gè)人數(shù)據(jù)。間諜軟件采用一系列技術(shù)來(lái)紀(jì)錄用戶的個(gè)人信息，例如鍵盤(pán)錄制、錄制用戶訪問(wèn)Internet的行為，以與掃描用戶計(jì)算機(jī)上的文件。間諜軟件的用途也多種多樣，從盜竊用戶的網(wǎng)上賬戶（主要是銀行信用卡賬戶）和密碼到統(tǒng)計(jì)用戶的網(wǎng)絡(luò)行為意作為廣告用途。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設(shè)置，威脅用戶隱私和計(jì)算機(jī)安全，并盡可能小的程度影響系統(tǒng)性能，以免被發(fā)現(xiàn)。（5）配置不當(dāng)。安全產(chǎn)品防護(hù)策略配置不當(dāng)造成安全隱患，例如，防火墻設(shè)備的訪問(wèn)控制

10、策略配置不正確，那么它根本起不到安全防護(hù)作用；再如有些特定的網(wǎng)絡(luò)應(yīng)用程序，當(dāng)它啟動(dòng)運(yùn)行時(shí)，就同步會(huì)打開(kāi)一系列的安全缺口，許多與該軟件捆綁在一起的應(yīng)用軟件也會(huì)被同時(shí)啟用，這樣就造成在不知情的情況下給不法分子留下后門(mén)或漏洞。除非用戶禁止該程序或?qū)ζ溥M(jìn)行正確配置，否則，安全隱患無(wú)法避免。（6）安全意識(shí)不強(qiáng)。人為的無(wú)意失誤是造成網(wǎng)絡(luò)不安全的重要原因之一。網(wǎng)絡(luò)管理員在這方面不但肩負(fù)重任，還面臨越來(lái)越大的壓力。稍有考慮不周，安全配置不當(dāng)，就會(huì)造成安全漏洞。另外，用戶安全意識(shí)不強(qiáng)，不按照安全規(guī)定操作，如口令選擇不慎，將自己的賬戶隨意轉(zhuǎn)借他人或與別人共享，都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅用戶口令選擇不慎，或?qū)⒆约旱馁~號(hào)

11、隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)威脅。4. 網(wǎng)絡(luò)安全防技術(shù)計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來(lái)說(shuō)，主要由防病毒、VPN網(wǎng)關(guān)、防火墻、入侵檢測(cè)等多個(gè)安全產(chǎn)品組件組成，一個(gè)單獨(dú)的組件無(wú)法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有：防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測(cè)技術(shù)、防病毒技術(shù)、漏洞掃描技術(shù)等，以下就針對(duì)此幾項(xiàng)技術(shù)分別進(jìn)行簡(jiǎn)要分析：防火墻技術(shù)防火墻技術(shù)是指網(wǎng)絡(luò)之間通過(guò)預(yù)定義的安全策略，對(duì)外網(wǎng)通信強(qiáng)制實(shí)施訪問(wèn)控制的安全應(yīng)用措施。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。根據(jù)環(huán)境不同，主要接入部署方式分三

12、類：（1）核心數(shù)據(jù)區(qū)安全防護(hù)；（2）網(wǎng)絡(luò)邊界安全防護(hù)；（3）網(wǎng)絡(luò)出口安全防護(hù)。圖（1）防火墻部署位置防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。防火墻技術(shù)可以起到如下防護(hù)作用網(wǎng)絡(luò)安全的屏障：防火墻在一個(gè)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)間建立一個(gè)檢查點(diǎn)。這種實(shí)現(xiàn)要求所有的流量都要通過(guò)這個(gè)檢查點(diǎn)。一旦這些檢查點(diǎn)清楚地建立，防火墻設(shè)備就可以監(jiān)視，過(guò)濾和檢查所有進(jìn)來(lái)和出去的流量。通過(guò)強(qiáng)制所有進(jìn)出流量都通過(guò)這些檢查點(diǎn)，網(wǎng)絡(luò)管理員可

13、以集中在較少的地方來(lái)實(shí)現(xiàn)安全目的。監(jiān)控審計(jì)：防火墻可以對(duì)、外部網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并進(jìn)行日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。防止部信息的外泄：通過(guò)利用防火墻對(duì)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。企業(yè)秘密是大家普遍非常關(guān)心的問(wèn)題，一個(gè)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏部細(xì)節(jié)如F

14、inger，DNS等服務(wù)。數(shù)據(jù)包過(guò)濾：包過(guò)濾是防火墻所要實(shí)現(xiàn)的最基本功能，現(xiàn)在的防火墻已經(jīng)由最初的地址、端口判定控制，發(fā)展到判斷通信報(bào)文協(xié)議頭的各部分，以與通信協(xié)議的應(yīng)用層命令、容、用戶認(rèn)證、用戶規(guī)則甚至狀態(tài)檢測(cè)等等。網(wǎng)絡(luò)上的數(shù)據(jù)都是以包為單位進(jìn)行傳輸?shù)模恳粋€(gè)數(shù)據(jù)包中都會(huì)包含一些特定的信息，如數(shù)據(jù)的源地址、目標(biāo)地址、源端口號(hào)和目標(biāo)端口號(hào)等。地址轉(zhuǎn)換：通過(guò)此項(xiàng)功能可以很好地屏蔽部網(wǎng)絡(luò)的IP地址，對(duì)部網(wǎng)絡(luò)用戶起到了保護(hù)作用。NAT又分“SNAT ”和“DNAT ”。SNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的源地址，對(duì)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)是屏蔽的，使得外部非常用戶對(duì)部主機(jī)的攻擊更加困難，同時(shí)可以節(jié)省有

15、限的公網(wǎng)IP資源，通過(guò)少數(shù)一個(gè)或幾個(gè)公網(wǎng)IP地址共享上網(wǎng)。而DNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的目的地址，外部網(wǎng)絡(luò)主機(jī)向部網(wǎng)絡(luò)主機(jī)發(fā)出通信連接時(shí)，防火墻首先把目的地址轉(zhuǎn)換為自己的地址，然后再轉(zhuǎn)發(fā)外部網(wǎng)絡(luò)的通信連接，這樣實(shí)際上外部網(wǎng)絡(luò)主機(jī)與部網(wǎng)絡(luò)主機(jī)的通信變成了防火墻與部網(wǎng)絡(luò)主機(jī)的通信。入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)(Intrusion Detection System簡(jiǎn)稱IDS)作為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)。包括系統(tǒng)外部的入侵和部用戶的非授權(quán)行為，是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠與時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行

16、為的技術(shù)手段。部署的方法有很多種，如基于專家系統(tǒng)入侵檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法等。入侵檢測(cè)通過(guò)執(zhí)行如下任務(wù)來(lái)實(shí)現(xiàn)：1、 監(jiān)視、分析用戶與系統(tǒng)活動(dòng)；2、 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì) ；3、 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；4、 異常行為模式的統(tǒng)計(jì)分析；5、 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；6、 操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。圖（2）入侵檢測(cè)攻防示意圖入侵檢測(cè)技術(shù)的主要功能：監(jiān)視分析用戶與系統(tǒng)活動(dòng)，查找非法用戶和合法用戶的越權(quán)操作。檢測(cè)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞；識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；對(duì)異常行為模式的統(tǒng)計(jì)分析；能夠

17、實(shí)時(shí)地對(duì)檢測(cè)到的入侵行為進(jìn)行反應(yīng)；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；可以發(fā)現(xiàn)新的攻擊模式。入侵檢測(cè)系統(tǒng)所采用的技術(shù)可分為誤用檢測(cè)模型與異常檢測(cè)模型兩種。誤用檢測(cè)模型 (Misuse detection)：檢測(cè)與已知的不可接受行為之間的匹配程度。如果可以定義所有的不可接受行為，那么每種能夠與之匹配的行為都會(huì)引起報(bào)警。收集非正常操作的行為特征，監(jiān)理相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。異常檢測(cè)模型 (Anomaly detection)：檢測(cè)與可接受行為之間的偏差。如果可以定義每項(xiàng)可接受的行為，那么每項(xiàng)不可接受的行為就應(yīng)該是入侵。首先總結(jié)正常操作應(yīng)該具有

18、的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離是即被認(rèn)為是入侵。數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密就是將數(shù)據(jù)通過(guò)一定的加密技術(shù)轉(zhuǎn)換成為表面上雜亂無(wú)章的數(shù)據(jù)，只有合法的使用者才能恢復(fù)數(shù)據(jù)的原來(lái)面目，而對(duì)于非法竊取使用者來(lái)說(shuō)，轉(zhuǎn)換后的數(shù)據(jù)是一些毫無(wú)意義的數(shù)據(jù)。我們把原始數(shù)據(jù)稱為明文，將經(jīng)過(guò)加密的數(shù)據(jù)稱為密文，把從明文變成密文的過(guò)程叫做加密，而把密文還原成明文的過(guò)程叫做解密。加密過(guò)程和解密過(guò)程都是需要有密鑰和相對(duì)應(yīng)的算法，一般密鑰是一串?dāng)?shù)字，加解密算法是作用于明文或密文以與相對(duì)應(yīng)密鑰的一個(gè)數(shù)學(xué)函數(shù)。圖（3）數(shù)據(jù)加密與解密技術(shù)的工作流程圖密碼算法是作用于加密和解密的數(shù)學(xué)函數(shù)，一般情況下有兩個(gè)相關(guān)的函數(shù)：一個(gè)用于

19、加密，另一個(gè)用于解密。這些算法的安全性都基于密鑰的安全性，而不是基于算法細(xì)節(jié)的安全性。就意味著算法可以公開(kāi)，可以被分析，也可以大量生產(chǎn)使用算法的產(chǎn)品，即使竊聽(tīng)者知道算法也沒(méi)有關(guān)系。只要他不知道你使用的具體密鑰，就不可能閱讀你的數(shù)據(jù)。基于密鑰的算法通常有兩類：對(duì)稱密碼算法和非對(duì)稱密碼算法：對(duì)稱算法又叫傳統(tǒng)密碼算法：是指加密和解密使用一樣的密鑰，即使不同，也可以由一個(gè)經(jīng)過(guò)計(jì)算推導(dǎo)出另一個(gè)來(lái)，反過(guò)來(lái)也是成立的。但在大多數(shù)對(duì)稱算法中，加密解密密鑰是一樣的。這些算法也叫單密鑰算法或秘密密鑰算法，它要求發(fā)送者和接收者在安全通信之前，確定一個(gè)密鑰，當(dāng)需給對(duì)方發(fā)送信息時(shí)，用自己的加密密鑰進(jìn)行加密得到密文，而在

20、接受方收到數(shù)據(jù)后，用對(duì)方所給的密鑰進(jìn)行解密得到明文。非對(duì)稱密碼算法也被稱之為公開(kāi)密碼體制：密鑰是由公開(kāi)密鑰和私有密鑰兩部分組成的密鑰對(duì)，分別用于對(duì)數(shù)據(jù)的加密工作和解密工作，即如果使用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密，那么只有用相對(duì)應(yīng)的公開(kāi)密鑰才能夠解密；反之，使用公開(kāi)密鑰對(duì)數(shù)據(jù)進(jìn)行加密，那么只有用相對(duì)應(yīng)的私有密鑰才能夠進(jìn)行解密，如圖 2-3 所示。公開(kāi)密鑰無(wú)須，可以公開(kāi)，因?yàn)橛晒_(kāi)密鑰是無(wú)法推算出私有密鑰，所以公開(kāi)的密鑰并不會(huì)損害私有密鑰的安全性。但私有密鑰就必須進(jìn)行。防病毒技術(shù)防病毒技術(shù)就是通過(guò)一定的技術(shù)手段防止計(jì)算機(jī)病毒對(duì)系統(tǒng)的傳染和破壞。但是隨著Internet技術(shù)的發(fā)展，以與E-mail和一批網(wǎng)

21、絡(luò)工具的出現(xiàn)，在改變?nèi)祟愋畔鞑シ绞降耐瑫r(shí)也使計(jì)算機(jī)病毒的種類迅速增加，擴(kuò)散速度也大大加快，計(jì)算機(jī)病毒的傳播方式迅速突破地域的限制，由以往的單機(jī)之間的介質(zhì)傳染轉(zhuǎn)換為網(wǎng)絡(luò)系統(tǒng)間的傳播。現(xiàn)在，計(jì)算機(jī)病毒已經(jīng)可以通過(guò)移動(dòng)磁盤(pán)、光盤(pán)、局域網(wǎng)、WWW瀏覽、E-Mail、FTP下載等多種方式傳播。只有通過(guò)將病毒檢測(cè)產(chǎn)品部署在網(wǎng)絡(luò)的入口或整個(gè)網(wǎng)絡(luò)中，才能真正將病毒抵御于網(wǎng)絡(luò)之外，保證數(shù)據(jù)的真正安全。常見(jiàn)的病毒檢測(cè)產(chǎn)品有防毒墻、網(wǎng)絡(luò)防病毒軟件等。防毒墻：通過(guò)防毒墻對(duì)數(shù)據(jù)包進(jìn)行狀態(tài)檢測(cè)過(guò)濾，不但能夠根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、協(xié)議類型、源端口、目標(biāo)端口以與網(wǎng)絡(luò)接口等數(shù)據(jù)包進(jìn)行控制，而且能夠記錄通過(guò)防毒墻的連接

22、狀態(tài)，直接對(duì)分組里的數(shù)據(jù)進(jìn)行處理；具有完備的狀態(tài)檢測(cè)表追蹤連接會(huì)話狀態(tài)，并且結(jié)合前后分組里的關(guān)系進(jìn)行綜合判斷決定是否允許該數(shù)據(jù)包通過(guò)，通過(guò)連接狀態(tài)進(jìn)行更迅速更安全的過(guò)濾。同時(shí)防毒墻能攔截攻擊操作系統(tǒng)和應(yīng)用軟件安全漏洞的新型蠕蟲(chóng)，而傳統(tǒng)的防火墻集成的防病毒功能是無(wú)法檢測(cè)和清除該類蠕蟲(chóng)的；在新病毒的傳播事件中，病毒檢測(cè)產(chǎn)品能夠有效防止網(wǎng)絡(luò)攻擊，不會(huì)消耗大部分資源用于攔截病毒。防病毒軟件：防病毒軟件則主要注重網(wǎng)絡(luò)防病毒，一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染，網(wǎng)絡(luò)防病毒軟件會(huì)立刻檢測(cè)到并加以刪除。可有效地保障部網(wǎng)絡(luò)不受病毒侵?jǐn)_。產(chǎn)品由以下幾部分組成： 系統(tǒng)中心 管理員控制臺(tái) 殺毒軟件服務(wù)器端 殺毒

23、軟件客戶端系統(tǒng)中心可以很容易地在整個(gè)網(wǎng)絡(luò)實(shí)現(xiàn)遠(yuǎn)程管理、智能升級(jí)、自動(dòng)分發(fā)、遠(yuǎn)程報(bào)警等多種功能，有效的管理，嚴(yán)密的保護(hù)，杜絕病毒的入侵。管理員控制臺(tái)，管理員可以在網(wǎng)絡(luò)中的任意一臺(tái)計(jì)算機(jī)上對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行集中控制管理，清楚地掌握整個(gè)網(wǎng)絡(luò)環(huán)境中各個(gè)節(jié)點(diǎn)的病毒監(jiān)測(cè)狀態(tài)，既方便了管理員，又最大程度的減少了整個(gè)網(wǎng)絡(luò)中的安全漏洞，有效保障了整個(gè)網(wǎng)絡(luò)的系統(tǒng)安全。圖（4）分布式部署結(jié)構(gòu)漏洞掃描技術(shù)每年都有數(shù)以千計(jì)的網(wǎng)絡(luò)安全漏洞被發(fā)現(xiàn)和公布，加上攻擊者手段的不斷變化，網(wǎng)絡(luò)安全狀況也在隨著安全漏洞的增加變得日益嚴(yán)峻。尋根溯源，絕大多數(shù)用戶缺乏一套完整、有效的漏洞管理工作流程，未能落實(shí)定期評(píng)估與漏洞修補(bǔ)工作。只有比攻擊者更早掌握自己網(wǎng)絡(luò)安全漏洞并且做好預(yù)防工作，才能夠有效地避免由于攻擊所造成的損失。漏洞掃描就是通過(guò)針對(duì)常見(jiàn)黑客攻擊手法的檢查策略，定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析，與時(shí)發(fā)現(xiàn)問(wèn)題、給出相關(guān)安全措施和建議并進(jìn)行相應(yīng)的修補(bǔ)和配置。這項(xiàng)技術(shù)的具體實(shí)現(xiàn)就是安全掃描程序，在很短的時(shí)間查出現(xiàn)存的安全脆弱