【網(wǎng)絡(luò)安全中計(jì)算機(jī)信息管理技術(shù)的運(yùn)用12000字】

網(wǎng)絡(luò)安全中計(jì)算機(jī)信息管理技術(shù)的運(yùn)用目錄TOC\o"1-3"\h\u目錄 II1引言 12相關(guān)理論綜述 12.1計(jì)算機(jī)網(wǎng)絡(luò)安全及風(fēng)險(xiǎn) 12.1.1自然災(zāi)害威脅 12.1.2軟件漏洞攻擊 12.1.3黑客攻擊風(fēng)險(xiǎn) 22.1.4網(wǎng)絡(luò)釣魚(yú)風(fēng)險(xiǎn) 22.2計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范的必要性 22.3計(jì)算機(jī)信息數(shù)據(jù)及數(shù)據(jù)加密 23計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀 33.1A企業(yè)網(wǎng)絡(luò)現(xiàn)狀 33.2A企業(yè)資產(chǎn)與威脅漏洞識(shí)別 43.2.1資產(chǎn)識(shí)別 43.2.2威脅識(shí)別 53.2.3脆弱點(diǎn)識(shí)別 53.3防火墻策略配置及配置命令 63.3.1網(wǎng)絡(luò)基本功能配置 63.3.2反對(duì)入侵和攻擊功能 113.3.3阻止異常主機(jī) 123.3.4流量管理和監(jiān)控 133.3.5日志審計(jì)和監(jiān)控 144計(jì)算機(jī)網(wǎng)絡(luò)安全目前可行措施的決策 164.1身份認(rèn)證技術(shù) 164.2訪問(wèn)控制技術(shù) 164.3入侵檢測(cè)技術(shù) 174.4防火墻技術(shù) 174.5數(shù)據(jù)加密技術(shù) 184.5.1鏈路加密 184.5.2節(jié)點(diǎn)加密 184.5.3端到端加密 184.5.4密鑰管理加密技術(shù) 18結(jié)束語(yǔ) 18參考文獻(xiàn) 201引言隨著計(jì)算機(jī)信息技術(shù)、通信技術(shù)、互聯(lián)網(wǎng)技術(shù)的發(fā)展,各種計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)也應(yīng)運(yùn)而生,這些技術(shù)為人們進(jìn)行現(xiàn)代辦公、娛樂(lè)提供了諸多方便,加快了各行各業(yè)和信息技術(shù)的融合發(fā)展。但計(jì)算機(jī)的使用更加普遍,給生活帶來(lái)了便利的同時(shí)也會(huì)帶來(lái)一定的安全隱患,比如信息數(shù)據(jù)有可能被竊取或者盜用,個(gè)人隱私可能會(huì)暴露在公眾的視線范圍內(nèi),從而使得用戶帶來(lái)一定的財(cái)產(chǎn)損失等,嚴(yán)重者,甚至?xí){著個(gè)人、企業(yè)及國(guó)家的信息安全。計(jì)算機(jī)網(wǎng)絡(luò)通信作為現(xiàn)代社會(huì)和信息社會(huì)的象征和代表，成功地改變了人們的生活方式、工作和學(xué)習(xí)習(xí)慣，極大地提高了信息傳播的范圍和速度，提高了工作的質(zhì)量和效率。促進(jìn)員工的成長(zhǎng)和進(jìn)步。企業(yè)可以使用數(shù)據(jù)加密技術(shù)保護(hù)數(shù)據(jù)傳輸，方便數(shù)據(jù)的使用過(guò)程，確保數(shù)據(jù)使用以及存儲(chǔ)過(guò)程的安全性。目前，計(jì)算機(jī)網(wǎng)絡(luò)通信存在著許多安全問(wèn)題；許多網(wǎng)絡(luò)黑客由于其強(qiáng)大的技術(shù)能力而使用計(jì)算機(jī)網(wǎng)絡(luò)來(lái)破壞網(wǎng)絡(luò)的正常使用,甚至是非法黑客都竊取其他網(wǎng)絡(luò)用戶信息。許多違法者除了影響計(jì)算機(jī)本身的可操作性外,還會(huì)導(dǎo)致設(shè)備和網(wǎng)絡(luò)癱瘓,從而造成損失以及用戶文檔和用戶數(shù)據(jù)線索。鑒于目前學(xué)術(shù)界關(guān)于計(jì)算機(jī)信息數(shù)據(jù)安全漏洞及加密技術(shù)的研究較多,但是缺乏對(duì)二者的綜合分析,大部分研究多是關(guān)于某一方面的研究,研究有待進(jìn)一步深入和細(xì)化,本文將對(duì)二者進(jìn)行綜合分析,具有一定的理論意義;此外,本文的研究還可以為更多的計(jì)算機(jī)工程師了解安全漏洞的類(lèi)型及存在的原因,通過(guò)計(jì)算機(jī)信息數(shù)據(jù)加密技術(shù)提高計(jì)算機(jī)的安全等級(jí),防止漏洞再次產(chǎn)生,避免計(jì)算機(jī)信息數(shù)據(jù)的泄露,因而還有一定的現(xiàn)實(shí)意義。2相關(guān)理論綜述2.1計(jì)算機(jī)網(wǎng)絡(luò)安全及風(fēng)險(xiǎn)2.1.1自然災(zāi)害威脅計(jì)算機(jī)網(wǎng)絡(luò)的數(shù)據(jù)是依靠電纜或者光纖等媒介傳播的，但是，類(lèi)似電纜或者光纖等媒介時(shí)非常脆弱的，他們需要一個(gè)相對(duì)穩(wěn)定的環(huán)境來(lái)確保良好的數(shù)據(jù)傳輸，而不是數(shù)據(jù)損壞或丟失。同樣的，在當(dāng)今社會(huì)中，電子計(jì)算機(jī)是非常脆弱的，所以當(dāng)計(jì)算機(jī)遇到地震、火災(zāi)、泄漏等災(zāi)難時(shí)，肯定會(huì)導(dǎo)致它的硬件產(chǎn)生無(wú)法修復(fù)的損害，存儲(chǔ)在硬件中的數(shù)據(jù)也可能丟失。2.1.2軟件漏洞攻擊軟件漏洞現(xiàn)在社會(huì)中非常容易被黑客攻擊和利用，原本軟件漏洞是程序員在進(jìn)行程序編譯的時(shí)候，考慮的不那么完善周全的一種程序漏洞，有的甚至程序員為了后期修改或者調(diào)整程序方便而留下的一道“后門(mén)”，這種漏洞其實(shí)是非常容易受到黑客的利用和攻擊的。而當(dāng)黑客成功的入侵到你的計(jì)算機(jī)之后，其實(shí)可以非常容易的對(duì)你留在計(jì)算機(jī)中的個(gè)人數(shù)據(jù)進(jìn)行盜取。其實(shí)，所有的軟件都是有著漏洞的，因?yàn)榧夹g(shù)的不斷發(fā)展，可能在過(guò)去沒(méi)有發(fā)現(xiàn)漏洞的軟件，在過(guò)了一段時(shí)間后，就被人找到存在的漏洞而加以利用。2.1.3黑客攻擊風(fēng)險(xiǎn)現(xiàn)代黑客攻擊主要有兩種方式:一種是網(wǎng)絡(luò)數(shù)據(jù)攻擊，顧名思義就是通過(guò)不同的方式破壞對(duì)方計(jì)算機(jī)上的數(shù)據(jù)，造成數(shù)據(jù)丟失和系統(tǒng)癱瘓，達(dá)到了自己的目的。第二種是在線調(diào)查，在調(diào)查對(duì)象不知情的情況下，個(gè)人隱私信息被盜。由此可以看出，黑客可以很容易地利用和攻擊軟件中的漏洞，而現(xiàn)代黑客的攻擊方式也不盡相同，不再是簡(jiǎn)單的利用軟件漏洞或者管理員后門(mén)入侵，而是會(huì)利用木馬，病毒，甚至直接誘惑計(jì)算機(jī)主人自己打開(kāi)網(wǎng)絡(luò)防護(hù)，主動(dòng)“邀請(qǐng)”黑客進(jìn)入，從而造成經(jīng)濟(jì)損失。2.1.4網(wǎng)絡(luò)釣魚(yú)風(fēng)險(xiǎn)互聯(lián)網(wǎng)的發(fā)展也催生了各式各樣依托網(wǎng)絡(luò)的新興行業(yè)，網(wǎng)絡(luò)購(gòu)物就是其中之一，而網(wǎng)購(gòu)的不斷發(fā)展進(jìn)步給群眾帶來(lái)生活便利的同時(shí)，一些不法分子則在社會(huì)還沒(méi)有為這些新產(chǎn)業(yè)完善立法，人們對(duì)新產(chǎn)業(yè)的熟悉程度和警惕心不高的時(shí)候，利用計(jì)算機(jī)技術(shù)進(jìn)行網(wǎng)絡(luò)詐騙，騙取受騙者的重要信息甚至是銀行卡號(hào)和密碼。2.2計(jì)算機(jī)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范的必要性培養(yǎng)專(zhuān)業(yè)人才并開(kāi)發(fā)網(wǎng)絡(luò)先進(jìn)技術(shù)。加強(qiáng)人才培養(yǎng)和加大技術(shù)的開(kāi)發(fā)投資，在現(xiàn)今社會(huì)是非常有必要的，在培養(yǎng)高技術(shù)人才時(shí)，也要做好對(duì)其正確的引導(dǎo)，使之能夠正確的為公眾網(wǎng)絡(luò)的安全作出貢獻(xiàn)，并有針對(duì)性的對(duì)新技術(shù)開(kāi)發(fā)投資，畢竟技術(shù)力量的強(qiáng)大才是保障和諧網(wǎng)絡(luò)的基礎(chǔ)。我國(guó)國(guó)民也必須加強(qiáng)互聯(lián)網(wǎng)的安全意識(shí)。老話說(shuō)，“互聯(lián)網(wǎng)安全七分靠管理，三分靠技術(shù)”，因此也能夠知道互聯(lián)網(wǎng)管理是網(wǎng)絡(luò)安全工作的核心，我們可以從以下幾個(gè)方面入手，首先，在新手剛剛接觸網(wǎng)絡(luò)的時(shí)候，就要對(duì)其的安全意識(shí)進(jìn)行強(qiáng)化培訓(xùn)，同時(shí)對(duì)一些私密的資料和密碼加強(qiáng)管理，并且最好定期更換密碼，以保證個(gè)人的計(jì)算機(jī)網(wǎng)絡(luò)安全。對(duì)個(gè)人PC采用多層次的防護(hù)。這個(gè)顧名思義就是給自己的電腦多層保護(hù)，從而保證使用網(wǎng)絡(luò)的安全性，比如先劃分VLAN并在路由器上劃分網(wǎng)段以此來(lái)隔離系統(tǒng)和用戶；同時(shí)配置防火墻消除DOS的攻擊；在網(wǎng)絡(luò)上安裝殺毒軟件并定期進(jìn)行“全盤(pán)殺毒”，阻斷病毒的傳播途徑。就像老話說(shuō)的那樣，只有充分了解自己的對(duì)手，才能在戰(zhàn)爭(zhēng)中處于不敗之地，因此，只有我們充分了解病毒的攻擊手段以及傳播路徑，才能某種程度上從根本解決問(wèn)題，而這些，就需要我們?cè)谌粘Ｉ钪胁粩嗟膶W(xué)習(xí)，汲取經(jīng)驗(yàn)。2.3計(jì)算機(jī)信息數(shù)據(jù)及數(shù)據(jù)加密計(jì)算機(jī)信息和數(shù)據(jù)安全指的是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)硬件以及軟件之中的數(shù)據(jù),但是,由于有害或突發(fā)性因素,數(shù)據(jù)可能會(huì)發(fā)生更改,損壞,泄漏等,從而從一定程度上破壞系統(tǒng)的穩(wěn)健運(yùn)行以及中斷網(wǎng)絡(luò)服務(wù)最后造成利益損害。計(jì)算機(jī)網(wǎng)絡(luò)工程技術(shù)在不斷發(fā)展,但由于計(jì)算機(jī)面臨計(jì)算機(jī)病毒,黑客等的攻擊,存在信息泄露的風(fēng)險(xiǎn),一旦泄露,將給用戶帶來(lái)一定的危害。不過(guò),如果沒(méi)有數(shù)字加密技術(shù),就無(wú)法發(fā)展計(jì)算機(jī)技術(shù)的創(chuàng)新，也就不能保障計(jì)算機(jī)信息的安全。加密技術(shù)的出現(xiàn)，就是為計(jì)算機(jī)信息數(shù)據(jù)提供保障，讓計(jì)算機(jī)可以在一個(gè)安全的網(wǎng)絡(luò)環(huán)境中運(yùn)行。運(yùn)營(yíng)效率得到提高,各種用戶數(shù)據(jù)均受到安全保護(hù)。數(shù)字加密技術(shù)使用加密和相關(guān)技術(shù)來(lái)代替或發(fā)送。使用加密密鑰將有用的文本替換為無(wú)意義和不可理解的編碼文本。這可以保證傳輸?shù)男畔⒉灰妆黄平猓虼诉@是一種不會(huì)泄露數(shù)據(jù)且不易被破解的技術(shù)。數(shù)據(jù)加密和傳統(tǒng)的私鑰加密方法是數(shù)據(jù)加密技術(shù)的兩種重要方法，其原理是解密方和加密方使用相同的密鑰，并且在加密和解密的過(guò)程中,密鑰是相同的。當(dāng)使用傳統(tǒng)的數(shù)據(jù)加密方法時(shí),有四個(gè)算法選項(xiàng),即:替換計(jì)劃算法,改進(jìn)的替換計(jì)劃算法,周期性和運(yùn)行算法XOR和四種周期性重復(fù)驗(yàn)證算法,偏移量表數(shù)據(jù)的每個(gè)切片對(duì)應(yīng)于偏移量,每個(gè)偏移量值是生成的編碼文件,并且在解碼過(guò)程中,有必要在參考該信息的基礎(chǔ)上讀取表以替換信息。這種加密方法非常簡(jiǎn)單,但是一旦您看到加密文件,它就會(huì)丟失秘密文件。優(yōu)化的替換時(shí)間表算法包括用于替換時(shí)間表的兩種或更多種隨機(jī)替換方法,這是一次多次加密方法,與傳統(tǒng)的秘密替換時(shí)間表算法相比,這可能使得解碼編碼文本更加困難。XOR循環(huán)移位算法可以實(shí)現(xiàn)數(shù)據(jù)位置的切換,XOR處理可以將數(shù)據(jù)留在循環(huán)位移中的位置進(jìn)行更改,從而快速的進(jìn)行文本編碼操作。3計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀3.1A企業(yè)網(wǎng)絡(luò)現(xiàn)狀該公司是一家大型化工集團(tuán)公司，屬于一家美國(guó)公司的合資企業(yè)。經(jīng)過(guò)長(zhǎng)時(shí)間的信息化建設(shè)，已經(jīng)形成了一定的規(guī)模。完成辦公自動(dòng)化系統(tǒng)OA、財(cái)務(wù)系統(tǒng)、人力資源管理系統(tǒng)、網(wǎng)站服務(wù)系統(tǒng)、電子郵件服務(wù)器等的生產(chǎn)，執(zhí)行系統(tǒng)MES制造執(zhí)行系統(tǒng)、備份服務(wù)器、FTP服務(wù)器、DNS服務(wù)器等子系統(tǒng)的構(gòu)建。該企業(yè)現(xiàn)在有458臺(tái)計(jì)算機(jī)，12臺(tái)服務(wù)器，1臺(tái)路由器，多個(gè)連接和局域網(wǎng)覆蓋各個(gè)辦公大樓以及各個(gè)生產(chǎn)和管理部門(mén)。目前，A公司的網(wǎng)絡(luò)系統(tǒng)設(shè)備大部分位于主辦公樓一層的企業(yè)信息管理中心機(jī)房，只有少量次要設(shè)備，如二級(jí)、三級(jí)交換機(jī)。交換機(jī)位于辦公樓層網(wǎng)絡(luò)柜的不同位置。通過(guò)我們對(duì)公司網(wǎng)絡(luò)物理環(huán)境的實(shí)地調(diào)研和了解，公司對(duì)IT管理中心機(jī)房的物理安全做了大量的工作，主要體現(xiàn)在以下幾個(gè)方面：（1）IT管理中心機(jī)房配備獨(dú)立的UPS電源和照明應(yīng)急系統(tǒng)，為網(wǎng)絡(luò)安全提供電源保護(hù)；（2）主機(jī)室內(nèi)安裝空調(diào)調(diào)節(jié)室內(nèi)溫濕度，但空調(diào)控制效果有待提高；（3）大多數(shù)機(jī)房都配備了防靜電裝置，但大多數(shù)機(jī)房都沒(méi)有使用電磁保護(hù)裝置。（4）采用指紋識(shí)別系統(tǒng)存儲(chǔ)和控制人員進(jìn)出機(jī)房，并安裝攝像裝置對(duì)機(jī)房進(jìn)行實(shí)時(shí)監(jiān)控。（5）公司建立了較為完備的防雷系統(tǒng)和較為簡(jiǎn)單的消防設(shè)備，但有關(guān)火災(zāi)或自然災(zāi)害的預(yù)防工作沒(méi)有做到位。（6）機(jī)房主機(jī)房?jī)?nèi)外設(shè)備定位區(qū)與管理工作區(qū)簡(jiǎn)單隔離，但隔離效果不佳；（7）機(jī)房安全管理系統(tǒng)不在機(jī)房?jī)?nèi)，對(duì)員工的行為沒(méi)有提醒或限制；（8）一小部分設(shè)備不能放置在設(shè)備架上，直接放置在機(jī)房地面上；（9）所有設(shè)備均設(shè)置了用戶名和密碼，部分存儲(chǔ)重要數(shù)據(jù)的設(shè)備由保險(xiǎn)箱保護(hù)；（10）辦公大樓采用單模光纖通信技術(shù)接入或接入網(wǎng)絡(luò)。3.2A企業(yè)資產(chǎn)與威脅漏洞識(shí)別3.2.1資產(chǎn)識(shí)別資產(chǎn)對(duì)于公司的重要性不言而喻，這就要求公司建立一個(gè)保護(hù)系統(tǒng)，存在方式可以有很多種，包括物質(zhì)和無(wú)形資產(chǎn)、硬件和軟件、文檔和源代碼、服務(wù)和圖像。在風(fēng)險(xiǎn)評(píng)估過(guò)程中需要花費(fèi)大量的時(shí)間和精力，而這一過(guò)程是相對(duì)費(fèi)力和困難的。然而，對(duì)公司資產(chǎn)的充分識(shí)別是風(fēng)險(xiǎn)評(píng)估過(guò)程中必不可少的重要步驟。信息資產(chǎn)的分類(lèi)方法如表3-1所示。表3-1資產(chǎn)分類(lèi)表資產(chǎn)分類(lèi)資產(chǎn)解釋設(shè)備電源、空調(diào)、保險(xiǎn)柜、文件柜、門(mén)禁系統(tǒng)、消防設(shè)施數(shù)據(jù)源碼、數(shù)據(jù)庫(kù)數(shù)據(jù)、系統(tǒng)文檔、計(jì)劃、報(bào)告、使用手冊(cè)等存在儲(chǔ)存介質(zhì)中的信息文檔紙質(zhì)文件、財(cái)務(wù)報(bào)告、運(yùn)管規(guī)定、電報(bào)傳真等軟件應(yīng)用系統(tǒng)、軟件系統(tǒng)、開(kāi)發(fā)工具和資料庫(kù)等硬件計(jì)算機(jī)硬件、路由器、交換機(jī)、硬件防火墻、程控交換機(jī)、布線、備份存儲(chǔ)設(shè)備等服務(wù)操作系統(tǒng)、Web,SMTP,POPS,FTP,DNS、呼叫中心等應(yīng)用服務(wù)、人員管理人員、一般員工等資產(chǎn)一經(jīng)合理識(shí)別，就應(yīng)量化資產(chǎn)的價(jià)值，并從資產(chǎn)的保密性、實(shí)用性和完整性等角度看待其對(duì)公司的影響，以類(lèi)似的水平進(jìn)行量化。如表3-2所示，資產(chǎn)分為5類(lèi)。類(lèi)別越高，其價(jià)值越高。表3-2資產(chǎn)等級(jí)劃分表級(jí)別含義描述4極高資產(chǎn)價(jià)值最高，其安全問(wèn)題可導(dǎo)致致命的危害3高資產(chǎn)價(jià)值較高，其安全影響程度較大，難以恢復(fù)2中資產(chǎn)價(jià)值中等，其安全影響程度處于中等1低資產(chǎn)價(jià)值低，其安全影響程度低0極低資產(chǎn)價(jià)值極低，其安全影響程度極低或可忽略不計(jì)3.2.2威脅識(shí)別這些威脅可能會(huì)導(dǎo)致公司資產(chǎn)損失，會(huì)造成一些安全問(wèn)題。它可以由多種因素引起，包括人為因素以及自然因素。主要有四類(lèi):自然災(zāi)害、人為的意外錯(cuò)誤、人為的惡意攻擊、系統(tǒng)軟件和應(yīng)用程序中的漏洞和后門(mén)。根據(jù)威脅原因的分類(lèi)，可以根據(jù)表3-3中威脅的分類(lèi)將其分為若干類(lèi)。表3-3威脅分類(lèi)表威脅類(lèi)別威脅說(shuō)明物理環(huán)境威脅斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲(chóng)害、電磁干擾、洪災(zāi)、火災(zāi)地震等環(huán)境問(wèn)題和白然災(zāi)害軟硬件故障由于設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件Bug導(dǎo)致對(duì)業(yè)務(wù)高效穩(wěn)定運(yùn)行的影響操作失誤由于應(yīng)該執(zhí)行而沒(méi)有執(zhí)行相應(yīng)的操作，或無(wú)意地執(zhí)行了錯(cuò)誤的操作對(duì)系統(tǒng)造成影響管理無(wú)效安全管理無(wú)法落實(shí)，不到位，造成安全管理不規(guī)范惡意代碼和病毒具有白我復(fù)制、傳播能力，對(duì)信息系統(tǒng)構(gòu)成破壞的程序代碼越權(quán)或?yàn)E用通過(guò)采用一些措施，超越白己的權(quán)限訪問(wèn)了本來(lái)無(wú)權(quán)訪問(wèn)的資源，或者濫用白己的職權(quán)，做出破壞信息系統(tǒng)的行為黑客攻擊利用黑客工具和技術(shù)，例如偵察、密碼猜測(cè)攻擊、緩沖區(qū)溢出攻擊拒絕服務(wù)攻擊等手段對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵物理攻擊物理接觸、物理破壞、盜竊泄密機(jī)密泄漏，機(jī)密信息泄漏給他人篡改非法修改信息，破壞信息的完整性抵賴不承認(rèn)收到的信息和所作的操作和交易以上是一個(gè)粗略的風(fēng)險(xiǎn)評(píng)級(jí)，在主要類(lèi)別中的實(shí)際應(yīng)用通常采取整體的方法，并在桌面上進(jìn)行全面的介紹。理解了威脅的分類(lèi)之后，對(duì)正在處理的威脅的級(jí)別執(zhí)行定性分析。一般來(lái)說(shuō)，威脅分為5個(gè)級(jí)別，用數(shù)字1到5表示。數(shù)值越高，代表的威脅越大。具體的威脅等級(jí)劃分參見(jiàn)表3-4。表3-4威脅等級(jí)劃分表威脅等級(jí)標(biāo)識(shí)描述4極高威脅發(fā)生的可能性極高，在大部分情況下完全不能避免或曾經(jīng)發(fā)生的次數(shù)較多3高威脅發(fā)生的可能性較高，在大部分情況下極有發(fā)生的可能性或曾發(fā)生過(guò)2中威脅發(fā)生的可能性中等，在某些情況下有發(fā)生的可能但未被證實(shí)出現(xiàn)過(guò)1低威脅發(fā)生的可能性較低，發(fā)生的可能性一般不大，未被證實(shí)曾經(jīng)出現(xiàn)過(guò)0極低威脅幾乎不會(huì)發(fā)生，僅在極其罕見(jiàn)和特殊的情況下發(fā)生3.2.3脆弱點(diǎn)識(shí)別脆弱點(diǎn)主要分為兩個(gè)方面:管理和技術(shù)。管理脆弱點(diǎn)包括安全組織、安全策略、人員安全、資產(chǎn)安全等；技術(shù)脆弱點(diǎn)包括物理、網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用級(jí)別的安全漏洞。具體的內(nèi)容參見(jiàn)表3-5。表3-5脆弱性分類(lèi)表脆弱性分類(lèi)含義內(nèi)容管理脆弱性管理安全安全策略、安全組織、資產(chǎn)安全、人員安全、物理環(huán)境安全、通信與操作安全、訪問(wèn)控制、系統(tǒng)研發(fā)和維護(hù)、業(yè)務(wù)持續(xù)性、適合性技術(shù)脆弱性應(yīng)用安全應(yīng)用軟件安全缺陷，應(yīng)用軟件安全措施，數(shù)據(jù)庫(kù)安全保護(hù)系統(tǒng)安全系統(tǒng)軟件及其配置安全漏洞等網(wǎng)絡(luò)安全網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)，網(wǎng)絡(luò)信息傳輸，訪問(wèn)控制，網(wǎng)絡(luò)設(shè)備及其配置安全等物理安全物理設(shè)備、電力系統(tǒng)等脆弱性的量化與威脅的量化基本相同，定性分布，分為5個(gè)級(jí)別，每個(gè)級(jí)別代表一種脆弱程度。該值越高，脆弱性越大。各個(gè)漏洞級(jí)別的詳細(xì)說(shuō)明如表3-6所示。表3-6脆弱性等級(jí)劃分表威脅等級(jí)標(biāo)識(shí)描述4極高脆弱程度極高，對(duì)資產(chǎn)的威脅程度極高3高脆弱程度較高，對(duì)資產(chǎn)的威脅程度較高2中脆弱程度中等，對(duì)資產(chǎn)有一定的威脅1低脆弱程度低，對(duì)資產(chǎn)的威脅程度低0極低脆弱程度極低，對(duì)資產(chǎn)的無(wú)任何威脅或可忽略不計(jì)3.3防火墻策略配置及配置命令3.3.1網(wǎng)絡(luò)基本功能配置網(wǎng)絡(luò)配置包括安全區(qū)域、ERP接口、路由、DNS、地址綁定、DHCP代理服務(wù)器等組件的配置。安全區(qū)域用于配置基于安全區(qū)域的訪問(wèn)管理。接口設(shè)置用于指定防火墻系統(tǒng)中安裝的每個(gè)網(wǎng)卡的網(wǎng)絡(luò)地址，以及是否允許ping服務(wù)、網(wǎng)口別名和VLAN設(shè)置；域名服務(wù)器設(shè)置；路由設(shè)置用于告訴防火墻周?chē)木W(wǎng)絡(luò)拓?fù)浜途W(wǎng)關(guān)配置。防火墻代理服務(wù)必須知道域名服務(wù)器的地址，才能找到網(wǎng)絡(luò)地址和域名地址之間的聯(lián)系。DHCP代理服務(wù)仍然需要網(wǎng)絡(luò)上的其他DHCP服務(wù)器來(lái)設(shè)置1p地址，dcfw-1800目前沒(méi)有直接分配ip地址的功能。此外，為了防止IP地址的欺詐性使用，可以在網(wǎng)絡(luò)設(shè)置部分將IP地址與其MAC地址綁定。1)安全域配置在多端口防火墻中，網(wǎng)絡(luò)不再僅僅是一個(gè)“可信”、“不可信”、“DMZ”區(qū)域，用戶可以在此基礎(chǔ)上建立其他的保護(hù)區(qū)域，并根據(jù)安全區(qū)域的訪問(wèn)控制來(lái)監(jiān)控不同保護(hù)區(qū)域的網(wǎng)絡(luò)訪問(wèn)流量。系統(tǒng)默認(rèn)配置有Trust域，Untrust域，DMZ域，Tunnel域，PPTP域。Trust域LAYER2/LAYER3(trustedzone)；Untrust域LAYER2/LAYER3(untrustedzone)；DMZ域LAYER2/LAYER3(dmzzone)；Tunnel域TUNNEL(VPN工PSECtunnel)；PPTP域PPTP(VPNPPTPDialupuser)；tunnel域用于控制PSEC接口。只有與該域關(guān)聯(lián)的接口才能建立ipsectunnelopptp域，并加入控制提供pptp服務(wù)的接口。只有與此域關(guān)聯(lián)的接口才能接受PPTP選擇。除pptp/tunnel外，所有域都支持混合模式，用戶界面標(biāo)記為(LAYER2/LAYER3)。該接口可能與pptp/tunnel網(wǎng)絡(luò)區(qū)域和另一個(gè)安全區(qū)域同時(shí)相關(guān)(由于級(jí)別不同)。但是，Untrust/trust/dmz域的用戶可以編輯它們，直到它們被刪除。刪除它之后，用戶可以使用它來(lái)創(chuàng)建一個(gè)不可靠的/信任/dmz域，該域不再被標(biāo)記為默認(rèn)系統(tǒng)。每個(gè)安全區(qū)域可以配置多個(gè)物理接口和VLAN子接口。最大可配置的安全區(qū)域數(shù)量為物理接口和VLAN接口的總和。本論文設(shè)計(jì)中涉及到的最重要的命令有：#zoneadddep_admin"Administrative"http://新增一個(gè)安全域#zoneattachdep_adminif3//講接口移進(jìn)安全域#zonelist//列表[1]*untrust(untrustedzone)interpassall……[5]dep_hr(departmentofadmin)interblockall[1]if3#zoneinterpassall5//將安全域內(nèi)接口間的缺省策略設(shè)為全通。其圖形配置界面如下：圖3-1安全域配置圖形界面2)增加接口DCFW-1800系列防火墻多端口防火墻支持多達(dá)64個(gè)物理以太網(wǎng)接口；支持雙機(jī)VLAN和VLAN網(wǎng)絡(luò)的熱備份；每個(gè)物理接口可以配置多個(gè)VLAN邏輯子接口、VLAN邏輯子接口和標(biāo)準(zhǔn)接口，具有等效構(gòu)型特征；所有的物理子接口和vlan邏輯子接口具有相似的特性和攻擊防護(hù)特性，可以消除來(lái)自網(wǎng)絡(luò)不同區(qū)域的安全威脅。支持網(wǎng)絡(luò)端口活動(dòng)和DHCP中繼服務(wù)；使用安全區(qū)域概念對(duì)網(wǎng)口進(jìn)行管理，將網(wǎng)絡(luò)安全提升到更高的管理水平。所有用于傳輸網(wǎng)絡(luò)信息包的端口（非空閑空間或“網(wǎng)絡(luò)內(nèi)接口”）都必須屬于特定的安全區(qū)域。用戶可以自定義新的安全區(qū)域，也可以在安全區(qū)域中添加或刪除接口（缺省固定接口除外）。用戶可以自定義與安全區(qū)域直接相關(guān)的規(guī)則或端口規(guī)則。域外接口可以用于固定功能，用戶可以修改MGT管理接口，定義為MGT屬性的接口專(zhuān)用于管理防火墻，管理流量與其他網(wǎng)絡(luò)流量隔離。HA心跳速率端口可以自定義，定義為HA屬性的接口專(zhuān)門(mén)用于HA心跳速率通信。IDS流量鏡像接口可以自定義，定義為IDS屬性的接口專(zhuān)門(mén)用于流量鏡像。在UI設(shè)置界面中，可以配置安全區(qū)域、網(wǎng)卡、網(wǎng)關(guān)、DNS、防dos選項(xiàng)和上述管理員IP。其配置命令如下：#ifconfiglistif0//參看if0網(wǎng)口的狀態(tài)及當(dāng)前配置[if0]ip/mask：22/24status：UP<ACTIVET,media：autozone：null,function：service：ping#ifconfigif09/24//配置網(wǎng)口ip地址為9#ifconfigaddressif09/24//配置網(wǎng)口別名IP地址或掩碼#ifconfigmediaif0auto//配置網(wǎng)口屬性其圖形配置界面為：圖3-2接口設(shè)置圖形界面3)VLAN設(shè)置多核防火墻DCFW1800關(guān)于VLAN管理的原理是：TS假設(shè)防火墻的ifl接口收到這個(gè)包，并注意到它是一個(gè)標(biāo)記的包，它搜索分配給它的vlan接口。例如，ifl定義了兩個(gè)vlan連接，它們是vlan0（標(biāo)記10）和vlanl（標(biāo)簽20），因此防火墻檢測(cè)到vlan0是一個(gè)處理標(biāo)簽10的接口，并將標(biāo)記的數(shù)據(jù)包從內(nèi)部返回到一個(gè)正常的以太網(wǎng)包，并使用標(biāo)準(zhǔn)路由搜索算法找到目的路由。例子：例如，假設(shè)這個(gè)項(xiàng)目連接到vlanlvlanlifl20標(biāo)簽中指定的接口，所以防火墻relaws標(biāo)題標(biāo)簽20的數(shù)據(jù)包并將其發(fā)送回開(kāi)關(guān)ifl接口和刪除標(biāo)記時(shí)收到的開(kāi)關(guān)標(biāo)題，發(fā)送到目標(biāo)主機(jī)B，此次通信完成。圖3-3防火墻VLAN設(shè)置其配置命令為：#ifconfigvlanvlan0if0100//在if0上配置一個(gè)新的VLANO，其tag值為1004)設(shè)置路由#routeadddefault//設(shè)置缺省路由#routeadd/24//添加路由#routexadd2/328/3//增加一條源地址路由策略。其圖形配置界面如圖：圖3-4接口VLAN設(shè)置圖形界面5)配置DNS#dnsadd8//增加一條DNS#dnslist//查看DNS[1]8[2]96)NAT地址翻譯NAT(NetworkAddressTranslation)是一種通過(guò)將IP地址擴(kuò)展為私有IP地址來(lái)實(shí)現(xiàn)安全網(wǎng)絡(luò)環(huán)境的特性，可以防止外部網(wǎng)絡(luò)的攻擊，也可以防止內(nèi)部IP地址泄露到外部網(wǎng)絡(luò)中。因此，即使一個(gè)未經(jīng)授權(quán)的用戶設(shè)法找到一個(gè)內(nèi)部IP地址，他們也不能訪問(wèn)內(nèi)部系統(tǒng)。在該模型中，三層交換機(jī)也可以實(shí)現(xiàn)地址轉(zhuǎn)換。但是由于三層交換機(jī)處理的數(shù)據(jù)量大，管理難度大，所以地址轉(zhuǎn)換設(shè)置為防火墻轉(zhuǎn)換。地址翻譯又分為靜態(tài)NAT和動(dòng)態(tài)NAT，這里，我們采用動(dòng)態(tài)NAT。#natadd/240-0ifl//ifl接口的內(nèi)網(wǎng)地址/24對(duì)任意IP地址的訪問(wèn)都翻譯為公共外網(wǎng)地址0-0范圍內(nèi)的地址對(duì)任意工P地址的訪問(wèn)。#natlist//顯示NAT[1]from0/32to/0一>8[2]from/24to/32一>3-9#1baddsrc225//增加一條指定外網(wǎng)地址及端口的負(fù)載均衡規(guī)則#1blist//查看負(fù)載均衡[O1]2：25一>「1]0：25[02]2：80#1badddst19：25//增加一條負(fù)載均衡主機(jī)其圖形配置界面如下圖3-5動(dòng)態(tài)NAT配置圖3-6新增負(fù)載主機(jī)3.3.2反對(duì)入侵和攻擊功能防火墻主要采用入侵檢測(cè)系統(tǒng)，即入侵檢測(cè)系統(tǒng)IDS（intrusiondetectionsystem）主要對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行監(jiān)控，及時(shí)檢測(cè)入侵嘗試或異?，F(xiàn)象，實(shí)時(shí)發(fā)出警報(bào)，并主動(dòng)響應(yīng)。從IDS系統(tǒng)的安裝位置來(lái)看，大致可以分為三類(lèi):主機(jī)入侵檢測(cè)系統(tǒng)（HIDS）、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（NIDS）和網(wǎng)絡(luò)節(jié)點(diǎn)入侵檢測(cè)系統(tǒng)（NNIDS）。HIDS安裝在安全的主機(jī)上，主要分析主機(jī)的內(nèi)部功能，如系統(tǒng)日志、系統(tǒng)調(diào)用、文件完整性檢查等。HIDS會(huì)消耗某些系統(tǒng)資源，并且用戶想要保護(hù)的每個(gè)主機(jī)都必須安裝HIDS。NIDS安裝在安全網(wǎng)段中，以混雜的方式監(jiān)控所有網(wǎng)絡(luò)數(shù)據(jù)包，實(shí)現(xiàn)實(shí)時(shí)檢測(cè)和響應(yīng)。KIDS與網(wǎng)絡(luò)主機(jī)操作系統(tǒng)無(wú)關(guān)，不需要安裝在每臺(tái)主機(jī)上，也不增加網(wǎng)絡(luò)主機(jī)的負(fù)擔(dān)；NNIDS安裝在網(wǎng)絡(luò)主機(jī)上，其節(jié)點(diǎn)結(jié)合了KIDS和HIDS技術(shù)，適合使用在高速Exchange環(huán)境以及加密的數(shù)據(jù)存儲(chǔ)的地方。其中其主要配置命令如下：1)安全策略#policyaddpingzhqhost60passf//增加一條ping服務(wù)策略，源策略為zhq，目的策略為host60，策略為快速通過(guò)#policylist//瀏覽策略[1]auth(remote)anytcp(anyinternal一>anyexternal)timelimit(alltimes)[2]passanyudp(zhq一>host60)<log>[3]passanyudp(anyinternal一>anyexternal)timelimit(alltimes)#policyenable2//啟用策略2#policypass2//策略2通過(guò)防火墻#policyretureset2//發(fā)回一個(gè)reset包#policyduptoids2//策略的通信流鏡像到IDS口#policyicmpfilter1//對(duì)icmp服務(wù)策略進(jìn)行安全過(guò)濾#policyanti-synflood1//啟用策略的阻止synflood攻擊功能#policysmartpro1//啟用策略的流探測(cè)功能#policyvaliditycheck//檢查策略的有效性。因策略所引用的對(duì)象有時(shí)它會(huì)被改變，導(dǎo)致原來(lái)有效的策略暫時(shí)失敗。如果檢測(cè)到無(wú)效策略，則將該策略的狀態(tài)設(shè)置為“無(wú)效”。修改策略引用的對(duì)象的屬性使策略生效后，策略會(huì)自動(dòng)恢復(fù)到當(dāng)前狀態(tài)。2)入侵檢測(cè)#smartproenable0//打開(kāi)流探測(cè)功能，級(jí)別為emergency#smartprolis//顯示流檢測(cè)功能tStatus：enable(level0)其圖形界面如下：圖3-7侵檢測(cè)啟用示意圖圖3-8以scan特征碼為例的瀏覽示意圖(未全部顯示)3.3.3阻止異常主機(jī)主要是一種黑名單屏蔽的方法。按要求阻擋非法數(shù)據(jù)包。因?yàn)椴煌?lèi)型的非法數(shù)據(jù)包的定義存在一定的差異，因此，這是一種針對(duì)特殊要求的方法。#blackholeadd5/32add-for-test//阻止ip地址為5的主機(jī)，此ip地址為模擬設(shè)置，不代表真實(shí)情況#blackholelist現(xiàn)實(shí)所有被阻止ip[1]51/32(blackhole1)[2]52/32(bh2)[3]53/32(bh3)#freezeadd2553tcp3600//添加一條IDS阻止其圖形界面如下：圖3-9組織主機(jī)設(shè)置圖形界面3.3.4流量管理和監(jiān)控防火墻流量控制不同于核交換機(jī)上的電源管理。當(dāng)防火墻在中小型網(wǎng)絡(luò)上時(shí)，它能夠滿足網(wǎng)絡(luò)流量的限制，但由于它是一個(gè)大型網(wǎng)絡(luò)，防火墻的流量管理主要是基于自身的安全方面，防止大規(guī)模流量的出現(xiàn)。為避免大規(guī)模流量讓端口崩潰，導(dǎo)致防火墻死機(jī)并有效抵擋惡意攻擊。#bmifconfigif0outgoing-bandwidth60M//配置if0的帶寬值為60m#bmbwobjlist//監(jiān)測(cè)帶寬[O1]b()bandwidth：12.000M(20.000%of60.OOOMbpsonif0)，priority：2,garantee#bmstatif0bBandwidthobject：b2002-08-0815：24：27Demarcatedrate：11.41MbpsMeasuredrate：ObpsSentpackets：0Sentbytes：0Dropedpackets：0Dropedbytes：0Priority：2Overflowtimes：0#bmpolicyaddyy0anyexternal012ac//增加帶寬策略#bmpolicyinsertO1zhengq0anydmz06ea//在指定的帶寬處插入策略3.3.5日志審計(jì)和監(jiān)控日志是對(duì)系統(tǒng)進(jìn)行審計(jì)和統(tǒng)計(jì)的重要工具。DCFW-1800系列防火墻除了支持本地日志、SNMPTrap和Syslog日志外，還提供了EMAIL告警日志功能，可以檢查系統(tǒng)的緊急事件和運(yùn)行模式。SMTP協(xié)議發(fā)送電子郵件，發(fā)送給管理員。配置日志條目用于確定要發(fā)布哪些操作。#logpolicyaddT1m//新增日志策略，本例為新增telnet代理日志策略#logpolicylist//顯示所有的日志策略ID：1ENABLEMODULES：SystemPRIORITIES：EMERGENCYALERTCRITICALERRORWARNInGNOTICEInFORMATIONDEBUGRESTINATION：master……#logwebtrendsenable啟用WebTrends輸出syslog日志功能#logtrapcommunitynamepublic//設(shè)置SNMP的communityname#logtrapsyscontactsong//設(shè)置SNMP的syscontact(聯(lián)系人)#logtraplocation"CDVTCCHENGDU"http://要設(shè)置的SNMP聯(lián)系地址#mailalarmlist//顯示發(fā)送EMAIL日志告警的有關(guān)配置，包括外發(fā)郵件服務(wù)器的設(shè)置、發(fā)送者接收者地址及發(fā)送統(tǒng)計(jì)圖的設(shè)置列表。State：enabledMailserversetting：server：Serverport：25Loginmethod：AuthLoginMethodloginname：DCFW-1800loginpassword：***Sendandreceivesetting：sendername：DCFW-1800senderaddress：firewall@receiveraddresses：admin@subject(dufault)：DCFW-1800系列防火墻告警!!!interval：5(mins)mailcharset(default)：ChineseSimplified(GB2312)Countsetting：sendcountstate：enabledsendcountpitstime：07：00#mailalarmenable//啟用EMAIL日志告警功能#mailalarmserver252DCFW-1800//配置外發(fā)郵件服務(wù)器，包括域名、端口、登錄方式及用戶名Password：***Retype：***Lookingupealarmmailserver...OK#mailalarmsendreceiveDCFW-1800Zhanglifeng@admin@5//配置郵件發(fā)送及接收者的相關(guān)信息#logdumpl**//查看存放在本地一中日志信息其圖形界面如下：圖3-10日志界面設(shè)置圖3-11日志界面統(tǒng)計(jì)圖圖3-12日志界面設(shè)置圖4計(jì)算機(jī)網(wǎng)絡(luò)安全目前可行措施的決策4.1身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)可以通過(guò)簽名、密碼等方式保護(hù)網(wǎng)絡(luò)安全，可以通過(guò)識(shí)別來(lái)驗(yàn)證是否是驅(qū)動(dòng)程序。它可以在人和機(jī)器之間或機(jī)器之間進(jìn)行驗(yàn)證。用戶和計(jì)算機(jī)可以通過(guò)智能卡識(shí)別、密碼檢測(cè)、視網(wǎng)膜識(shí)別、筆跡識(shí)別、面部識(shí)別等方法進(jìn)行驗(yàn)證。靜態(tài)密碼是用戶自定義的數(shù)字?jǐn)?shù)據(jù)。在使用計(jì)算機(jī)時(shí)，如果用戶輸入的內(nèi)容匹配，則必須輸入憑據(jù)以確認(rèn)用戶是正確的用戶，并登錄和使用該用戶賬戶。靜態(tài)密碼通常由破碎的字符串組成，安全性不可靠。動(dòng)態(tài)密碼主要通過(guò)二維碼數(shù)據(jù)掃描和一些短信認(rèn)證方式生成，即用戶在收到掃描二維碼或一些非常安全的數(shù)字序列后登錄。身份驗(yàn)證是保證經(jīng)營(yíng)者合法性的重要保障。一旦數(shù)據(jù)遭到攔截和泄露，會(huì)導(dǎo)致非常嚴(yán)重的后果。4.2訪問(wèn)控制技術(shù)訪問(wèn)控制技術(shù)是一種對(duì)訪問(wèn)和內(nèi)容進(jìn)行控制和過(guò)濾的技術(shù)，其主要任務(wù)是確保在線資源的安全，防止其非法使用和訪問(wèn)。其核心策略能夠以最好的方式保證網(wǎng)絡(luò)安全。訪問(wèn)控制主要分為兩種類(lèi)型，即系統(tǒng)訪問(wèn)控制和網(wǎng)絡(luò)訪問(wèn)控制。NetworkAccessMonitor可以限制網(wǎng)絡(luò)用戶的外部訪問(wèn)和外部用戶對(duì)主機(jī)網(wǎng)絡(luò)服務(wù)的訪問(wèn)。系統(tǒng)訪問(wèn)控制可以為不同的用戶提供不同的主機(jī)資源權(quán)限。4.3入侵檢測(cè)技術(shù)該技術(shù)主要利用行為、信息等手段對(duì)信息系統(tǒng)的非法入侵進(jìn)行檢查。該技術(shù)能夠非?？焖俚貦z測(cè)出系統(tǒng)中的異常情況，確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的最大安全性。從技術(shù)角度來(lái)看，入侵檢測(cè)技術(shù)可以分為兩種類(lèi)型：偏差檢測(cè)模式和濫用檢測(cè)模式。入侵檢測(cè)系統(tǒng)可以檢測(cè)各種有害功能、已知的入侵者和各種基站，該功能類(lèi)似于防盜報(bào)警器功能。4.4防火墻技術(shù)從名字上，我們就可以大致猜到防火墻的具體作用。這些年，最常用的保護(hù)網(wǎng)絡(luò)安全的技術(shù)是防火墻。防火墻可以根據(jù)網(wǎng)絡(luò)的安全級(jí)別設(shè)置不同的和特定的安全策略，以在多個(gè)級(jí)別上保護(hù)用戶的網(wǎng)絡(luò)系統(tǒng)。有效合理的使用防火墻可以更好的保護(hù)網(wǎng)絡(luò)安全。然而，應(yīng)該指出的是，防火墻不是一種常見(jiàn)的防御工具；在許多外部網(wǎng)絡(luò)攻擊的情況下，防火墻必須與其他一些安全措施合作來(lái)對(duì)抗它。一些先進(jìn)的防火墻可以增加視頻流等具有更高的保護(hù)。防火墻在網(wǎng)絡(luò)安全系統(tǒng)中的作用不可低估，因?yàn)樗娜蝿?wù)是防止未經(jīng)授權(quán)的非法用戶來(lái)訪問(wèn)用戶的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。防火墻檢測(cè)和過(guò)濾數(shù)據(jù)端口上的不安全數(shù)據(jù)，因此它不能訪問(wèn)用戶的計(jì)算機(jī)。正常情況下，正確安裝防火墻，科學(xué)合理的系統(tǒng)配置，可以達(dá)到以下效果:1。限制訪問(wèn)某些網(wǎng)站。2.防止不法分子進(jìn)入系統(tǒng)，將不安全以及非法的數(shù)據(jù)攔截下來(lái)。3.防止非法進(jìn)入者進(jìn)入網(wǎng)絡(luò)。4.網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)可以隨時(shí)控制。防火墻可以支持大量平臺(tái)，并具有大量用戶連接。針對(duì)不同平臺(tái)，防火墻技術(shù)開(kāi)發(fā)人員能做到針對(duì)每個(gè)平臺(tái)制定不同的安裝方式。在計(jì)算機(jī)網(wǎng)絡(luò)安全方面，防火墻技術(shù)是一個(gè)非常重要的組成部分。在使用計(jì)算機(jī)網(wǎng)絡(luò)時(shí)，有很多信息需要保護(hù)。安全配置可以有效地將其劃分為多個(gè)區(qū)域，并專(zhuān)注于保護(hù)每個(gè)區(qū)域。全面的網(wǎng)絡(luò)監(jiān)控功能使防火墻對(duì)攻擊具有極強(qiáng)的抵御能力。為了防止非法網(wǎng)站的訪問(wèn)或不法分子的入侵，防火墻不僅必須具有非法阻止內(nèi)部網(wǎng)絡(luò)訪問(wèn)的能力，還必須具有監(jiān)視功能。從網(wǎng)絡(luò)上刪除，因?yàn)楝F(xiàn)在每天都會(huì)出現(xiàn)一些不良網(wǎng)站。只有通過(guò)監(jiān)視，才能根據(jù)相關(guān)信息阻止這些非法站點(diǎn)。人為因素是威脅網(wǎng)絡(luò)安全的主要因素。在計(jì)算機(jī)的日常操作過(guò)程中，激活信息后，感染病毒的電子郵件就會(huì)集成到計(jì)算機(jī)中，從而威脅到企業(yè)的正常生產(chǎn)。使用防火墻可以避免高風(fēng)險(xiǎn)電子郵件，消息和提示對(duì)計(jì)算機(jī)用戶很重要。在計(jì)算機(jī)運(yùn)行期間，存在一些不安全因素。防火墻技術(shù)可在計(jì)算機(jī)運(yùn)行期間隨時(shí)間控制這些不安全因素，并執(zhí)行服務(wù)攔截和其他工作以確保計(jì)算機(jī)正常運(yùn)行并防止非法攻擊受到影響以負(fù)面的方式對(duì)待計(jì)算機(jī)。特別是對(duì)于內(nèi)部和外部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸和通信，得益于防火墻技術(shù)的支持，可以更好地保護(hù)企業(yè)的利益。4.5數(shù)據(jù)加密技術(shù)4.5.1鏈路加密鏈路加密是計(jì)算機(jī)網(wǎng)絡(luò)安全中最常用的方法之一，但它具有很強(qiáng)的應(yīng)用優(yōu)勢(shì)。根據(jù)用戶的應(yīng)用需求，用戶可以對(duì)創(chuàng)建后的數(shù)據(jù)進(jìn)行加密。在此基礎(chǔ)上，可以發(fā)送數(shù)據(jù)。主要的先決條件是在以后的傳輸處理之前設(shè)置加密?？紤]到數(shù)據(jù)中節(jié)點(diǎn)的不同，數(shù)據(jù)傳輸所選擇的加密處理方法也不同。通常，鏈接加密的應(yīng)用是設(shè)置信息數(shù)據(jù)的二次加密，以使某些非法點(diǎn)無(wú)法獲得信息數(shù)據(jù)的真實(shí)數(shù)據(jù)，無(wú)論是簡(jiǎn)單的輸入路徑還是基本的輸出路徑都無(wú)法獲取。4.5.2節(jié)點(diǎn)加密從數(shù)據(jù)加密原理和相互連接加密的角度出發(fā)，對(duì)節(jié)點(diǎn)加密進(jìn)行了全面的分析。節(jié)點(diǎn)加密之間存在相互操作的關(guān)系。一些基本的操作原則和加工方法仍然是相同的。從載體的角度來(lái)看，連接是次要數(shù)據(jù)和數(shù)據(jù)加密的主要載體。因此，在實(shí)際應(yīng)用中，節(jié)點(diǎn)加密的主要目的是安全模塊中加密方法節(jié)點(diǎn)的安全性較低。不建議使用節(jié)點(diǎn)加密的方式傳輸重要數(shù)據(jù)，這些數(shù)據(jù)容易被他人破壞，泄露商業(yè)機(jī)密，給公司財(cái)務(wù)發(fā)展造成嚴(yán)重?fù)p失。4.5.3端到端加密當(dāng)前，端到端加密已在許多大型計(jì)算機(jī)網(wǎng)絡(luò)通信系統(tǒng)中使用，擴(kuò)展了其應(yīng)用范圍，并在大型計(jì)算機(jī)網(wǎng)絡(luò)通信系統(tǒng)中發(fā)揮了重要作用，端到端加密的使用可以防止犯罪分子侵入計(jì)算機(jī)網(wǎng)絡(luò)通信系統(tǒng)。在提供信息和數(shù)據(jù)的過(guò)程中也加強(qiáng)了保護(hù)，為保護(hù)信息數(shù)據(jù)，即使安全模塊出現(xiàn)問(wèn)題，也不會(huì)影響信息數(shù)據(jù)，從而確保其他工作的正常開(kāi)展