搜索软件网络安全的设计依据

A. 网络安全的背景.

随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。有很多是敏感信息，甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击（例如信息泄露、信息窃取、数据篡改、数据删添、计算机病毒等）。同时，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。

1、Internet是一个开放的、无控制机构的网络，黑客（Hacker）经常会侵入网络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据，或使系统功能得不到充分发挥直至瘫痪。

2、Internet的数据传输是基于TCP/IP通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的安全措施。

3、Internet上的通信业务多数使用Unix操作系统来支持，Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。

4、在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实，内容是否被改动，以及是否泄露等，在应用层支持的服务协议中是凭着君子协定来维系的。

5、电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。

6、计算机病毒通过Internet的传播给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。

网络安全由于不同的环境和应用而产生了不同的类型。主要有以下几种：

（1）系统安全

运行系统安全即保证信息处理和传输系统的安全。它侧重于保证系统正常运行。避免因为系统的崩溃和损坏而对系统存储、处理和传输的消息造成破坏和损失。避免由于电磁泄翻，产生信息泄露，干扰他人或受他人干扰。

（2）网络信息安全

网络上系统信息的安全。包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计。安全问题跟踩。计算机病毒防治，数据加密等。

（3）信息传播安全

网络上信息传播安全，即信息传播后果的安全，包括信息过滤等。它侧重于防止和控制由非法、有害的信息进行传播所产生的后果，避免公用网络上自由传输的信息失控。

（4）信息内容安全

网络上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。其本质是保护用户的利益和隐私。

以上内容参考 网络-网络安全；网络-网络信息安全

B. 网络系统安全性设计原则有哪些

根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防范体系在整体设计过程中应遵循以下9项原则：

1．网络信息安全的木桶原则

网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的"安全最低点"的安全性能。

2．网络信息安全的整体性原则

要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。

3．安全性评价与平衡原则

对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。

4．标准化与一致性原则

系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。

5．技术与管理相结合原则

安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

6．统筹规划，分步实施原则

由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一个比较全面的安全规划下，根据网络的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强安全防护力度，保证整个网络最根本的安全需求。

7．等级性原则

等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足网络中不同层次的各种实际需求。

8．动态发展原则

要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求。

9．易操作性原则

首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。

C. 网络安全的关键技术有哪些

一.虚拟网技术

虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是，虚拟网技术也带来了新的安全问题：
执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。
基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。
基于MAC的VLAN不能防止MAC欺骗攻击。
以太网从本质上基于广播机制，但应用了交换器和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。
但是，采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此，VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
网络层通讯可以跨越路由器，因此攻击可以从远方发起。IP协议族各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多，如IP sweep, teardrop, sync-flood, IP spoofing攻击等。

二.防火墙枝术

网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.
1、使用Firewall的益处
保护脆弱的服务
通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。
例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。
2、 设置Firewall的要素
网络策略
影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。
服务访问策略
服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）。
服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。
Firewall设计策略
Firewall设计策略基于特定的firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略：
允许任何服务除非被明确禁止；
禁止任何服务除非被明确允许。
通常采用第二种类型的设计策略。
3、 Firewall的基本分类
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转换(NAT)
是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型监测型
防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
4、 建设Firewall的原则
分析安全和服务需求
以下问题有助于分析安全和服务需求：
√ 计划使用哪些Internet服务(如http，ftp，gopher)，从何处使用Internet服务(本地网，拨号，远程办公室)。
√ 增加的需要，如加密或拔号接入支持。
√ 提供以上服务和访问的风险。
√ 提供网络安全控制的同时，对系统应用服务牺牲的代价。
策略的灵活性
Internet相关的网络安全策略总的来说，应该保持一定的灵活性，主要有以下原因：
√ Internet自身发展非常快，机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题，安全策略必须能反应和处理这些问题。
√ 机构面临的风险并非是静态的，机构职能转变、网络设置改变都有可能改变风险。
远程用户认证策略
√ 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。
√ PPP/SLIP连接必须通过Firewall认证。
√ 对远程用户进行认证方法培训。
拨入/拨出策略
√ 拨入/拨出能力必须在设计Firewall时进行考虑和集成。
√ 外部拨入用户必须通过Firewall的认证。
Information Server策略
√ 公共信息服务器的安全必须集成到Firewall中。
√ 必须对公共信息服务器进行严格的安全控制，否则将成为系统安全的缺口。
√ 为Information server定义折中的安全策略允许提供公共服务。
√ 对公共信息服务和商业信息(如email)讲行安全策略区分。
Firewall系统的基本特征
√ Firewall必须支持．“禁止任何服务除非被明确允许”的设计策略。
√ Firewall必须支持实际的安全政策，而非改变安全策略适应Firewall。
√ Firewall必须是灵活的，以适应新的服务和机构智能改变带来的安全策略的改变。
√ Firewall必须支持增强的认证机制。
√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。
√ IP过滤描述语言应该灵活，界面友好，并支持源IP和目的IP，协议类型，源和目的TCP/UDP口，以及到达和离开界面。
√ Firewall应该为FTP、TELNET提供代理服务，以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP，http等)也必须通过代理服务器。
√ Firewall应该支持集中的SMTP处理，减少内部网和远程系统的直接连接。
√ Firewall应该支持对公共Information server的访问，支持对公共Information server的保护，并且将Information server同内部网隔离。
√ Firewall可支持对拨号接入的集中管理和过滤。
√ Firewall应支持对交通、可疑活动的日志记录。
√ 如果Firewall需要通用的操作系统，必须保证使用的操作系统安装了所有己知的安全漏洞Patch。
√ Firewall的设计应该是可理解和管理的。
√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。
5、选择防火墙的要点
(1) 安全性：即是否通过了严格的入侵测试。
(2) 抗攻击能力：对典型攻击的防御能力
(3) 性能：是否能够提供足够的网络吞吐能力
(4) 自我完备能力：自身的安全性，Fail-close
(5) 可管理能力：是否支持SNMP网管
(6) VPN支持
(7) 认证和加密特性
(8) 服务的类型和原理
(9)网络地址转换能力

三.病毒防护技术

病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。
我们将病毒的途径分为：
(1 ) 通过FTP，电子邮件传播。
(2) 通过软盘、光盘、磁带传播。
(3) 通过Web游览传播，主要是恶意的Java控件网站。
(4) 通过群件系统传播。
病毒防护的主要技术如下：
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新，并下发到桌面系统。
(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。

四.入侵检测技术

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：
(1) 入侵者可寻找防火墙背后可能敞开的后门。
(2) 入侵者可能就在防火墙内。
(3) 由于性能的限制，防火焰通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。
入侵检测系统可分为两类：
√ 基于主机
√ 基于网络
基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。
基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如右图示：
上述模型由四个部分组成：
(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。
(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分。
(3) countermeasure执行规定的动作。
(4) Storage保存分析结果及相关数据。
基于主机的安全监控系统具备如下特点：
(1) 精确，可以精确地判断入侵事件。
(2) 高级，可以判断应用层的入侵事件。
(3) 对入侵时间立即进行反应。
(4) 针对不同操作系统特点。
(5) 占用主机宝贵资源。
基于网络的安全监控系统具备如下特点：
(1) 能够监视经过本网段的任何活动。
(2) 实时网络监视。
(3) 监视粒度更细致。
(4) 精确度较差。
(5) 防入侵欺骗的能力较差。
(6) 交换网络环境难于配置。
基于主机及网络的入侵监控系统通常均可配置为分布式模式：
(1) 在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。
(2) 在需要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。
选择入侵监视系统的要点是：
(1) 协议分析及检测能力。
(2) 解码效率(速度)。
(3) 自身安全的完备性。
(4) 精确度及完整度，防欺骗能力。
(5) 模式更新速度。

五.安全扫描技术

网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面：
(1) 速度。在网络内进行安全扫描非常耗时。
(2) 网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。
(3) 能够发现的漏洞数量。
(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。
(5) 报告，扫描器应该能够给出清楚的安全漏洞报告。
(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。
安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。

六. 认证和数宇签名技术

认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证技术将应用到企业网络中的以下方面：
(1) 路由器认证，路由器和交换机之间的认证。
(2) 操作系统认证。操作系统对用户的认证。
(3) 网管系统对网管设备之间的认证。
(4) VPN网关设备之间的认证。
(5) 拨号访问服务器与客户间的认证。
(6) 应用服务器(如Web Server)与客户的认证。
(7) 电子邮件通讯双方的认证。
数字签名技术主要用于：
(1) 基于PKI认证体系的认证过程。
(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。
认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。
UserName/Password认证
该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密。
使用摘要算法的认证
Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security key，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。
基于PKI的认证
使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。
该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。

D. 常见的网络安全威胁及防范措施

由于计算机网络信息被大众广泛接受、认可，在一定程度上给社会、生活带来了极大的便利，使得人们也就越来越依赖网络的虚拟生活，那么，有哪些常见网络安全威胁呢?应该怎么防范?我在这里给大家详细介绍。

常见的网络安全威胁及防范 措施

1 在计算机网络中，常见的安全性威胁障碍

袭击方式为什么会发生网络安全威胁事件呢?

一般情况下都是有目的性地实施的。这些威胁可能存在于网络中的每一个角落，即使有的袭击必须要经由特定的相关网络系统来进行，可只要袭击者一展开攻击，最终的破坏结果损失都很惨重。目前主要的袭击网络信息的方式一般有几下几种：

(1)扫描。换句话讲，扫描其实就是利用智能化的设备展开大范围嗅探活动，并对协议数据加以观察、分析。通常用的扫描形式一般有协议扫描跟端口扫描这两种。扫描一般都是袭击的初期阶段，主要就是攻击者在寻找、识别想要攻击的目标对象。

(2)嗅探。它原先是利用在网络中捕获到得数据信息，将之供给给网络管理员来利用、分析以及查看网络状态、环境的管理手法。攻击人利用嗅探器来获取到众多的数据信息，这些数据信息也许是一些用户名、密码或者特定的需要身份验证的资料。这样的话，攻击者就能有针对性地去展开袭击。其实嗅探器是极容易获取的，在计算机网络中一搜索，就会出现成千上万的嗅探器软件。

(3)拒绝网络服务。袭击人一般是往网络上传输一些没用的数据信息或者大量浪费那些很稀缺、稀有的资源，就比如说网络带宽型攻击，还有延续攻击。在一定程度上干扰到了数据信息正常的传输、利用，就算是那些加密的数据文件，也保障不了数据传输的安全性。它的目的其实根本就不是想要获取那些数据，而是想让别的用户得不到这些数据，享受不到正规的 网络技术 服务。

(4)伪装。在计算机信息网络中，互相间都有着一定的信任性。有时候必须要在特定的信任度下，才可以确立起合法的宽带网络连接机制，如果袭击网络者克隆了合法登入者的身份，就使得其可以有信任度地和网络连接起来。

(5)恶意代码。它其实就是一种计算机的程序。每当按照程序执行的时候，就会使得计算机不能正常的运作。有些用户根本就想不到是自己的电脑被植入了恶意代码程序，一直到自己的计算机程序真的被破坏了，才会全面地去检查、杀毒。常见的恶意代码有特洛伊木马 普通病毒以及蠕虫等。计算机被这些恶意代码侵入之后，就会使得自身数据丢失，网络系统也会出现混乱状况。

1.2整体发展趋向现时代的攻击者会喜欢将自己的攻击实战 经验 跟一些破坏程序放在论坛上跟其他的一些同行进行交流，分享经验。他们检测网络数据的源代码，并从其中的某些程序里面找到缺陷，有针对性地制定相关袭击策略。大多数专业攻击人都可以咋袭击一些网络数据时遮掩掉自己的非法行为。就算有的受害者能及时发现嗅探日志，都很难辨别哪些数据被袭击者改写过。

同时网络技术正不断成熟、完善，攻击的手段、技术也变得更加智能化，可以同一时间内快速地获取大量网络主机内部存在的信息资源。这些技术、手段在对整个网络扫描时，识别网络中存在的一些漏洞。针对漏洞，攻击者就能借一些特殊的工具来获取到网络客户的真实信息，或者分享于其他人，或者立即攻击网络客户。由此可知，攻击者根本就不需要过硬的 网络知识 就可以对网络客户实施突袭。

2 针对上述存在的威胁，提出相应的防范措施

安全管理

(1)安全管理程序。安全管理程序通常是在计算机安全准则的基础上制定出来的，在一定程度上可以给用户和网络管理员提供有关安全管理方面的依据。安全准则通常是由各国组织围绕计算机信息安全性而制定的提纲要领文件。随着网络技术不断前进，安全准则也在不断更新，进而避免涉及范围过于狭小。

(2)安全管理实践作业。安全管理实践作业是不可或缺的，是国家公认的解决方案。就比如：保障账户需要密码设置、验证，所设置的密码避免太容易解除;针对安全级别较高的网络系统，普遍采用一次性的安全密码;用特定工具使得系统保证其完整度;设计安全的计算机程序;定期杀毒、检测、对网络的安全系数进行评定。

安全技术

安全操作信息技术。想要保证数据信息的安全度，我们就必须及时地对那些可疑的网络活动进行评估、监测，并找到合理的响应方案加以处置。

(1)防火墙网络技术。攻击者一般都是使用欺诈形式来连接网络的认证系统，并凭借“拒绝服务”来对目标对象进行攻击。而防火墙其实就是最重要的第一道安全防线。形式最简单的防火墙通常由过滤路由器组织形成的，淘汰那些从未授权网址或服务端口出现过的数据信息，实现信息的过滤目的。而相对复杂的一种防火墙技术则是代理机制来运行的，经代理机制确认核实请求之后，将经授权的信息请求输送给合法的网络用户。

(2)监控管理工具。对于虚拟的网络来说，监控管理工具是必备的。它一般是安装在网络计算机里面专门用来获取数据和检测可疑活动行为的。当可疑活动一出现的时候，就会自动报警，然后管理员得到通知就对此加以处理。监控管理工具通常是有针对性地监控网络各类应用，在一定程度上还能阻隔可疑的网络行为。

(3)安全解析作业。科技的更新，网络攻击程序逐渐成熟，所以对网络安全定期进行评估是不可缺少的。目前很多分析漏洞的工具都是可以直接从网站上得到的，网络系统管理工作者可以凭借这些工具来识别网络安全存在的漏洞。由此可知，安全分析工具在一定程度上不仅能强化安全力度，还能阻隔安全危害。

密码编码科学。密码编码科学在密码学中其实就是一门分支的科目，重点研究领域就是加密。

(1)安全保密性：提供那些被授权的用户访问网络和获取信息的服务，而非授权的网络用户通常都不理解具体信息。袭击者捕获、揭示数据信息都是很简单的。那么想要防止他们违法利用这些数据，通常可以对这些数据信息进行加密。

(2)完整全面性：给予保证数据信息在存储跟输送进程里不被未经授权就加以修改的一项服务。就拿下面例子来讲，用MD5校对并检测数据信息的完整全面性。校对的信息都是从文件里面提取、精炼出的，确定数据信息是否全面。攻击人也许是还能改数据信息再进行信息的伪造校对，如果是被保护的话，一般的修改都是不会被察觉的。

(3)不可否决性：给予阻止用户否决先前活动的一系列服务。一般分为对称性加密或者非对称性加密等。

结语

由于计算机网络信息被大众广泛接受、认可，在一定程度上给社会、生活带来了极大的便利，使得人们也就越来越依赖网络的虚拟生活，所以网络信息技术的安全问题变得极为紧迫。

网络安全的相关 文章 ：

1. 关于网络安全的重要性有哪些

2. 关于加强网络安全有何意义

3. 网络攻击以及防范措施有哪些

4. 常见的网络安全威胁及防范措施

5. 关于网络安全的案例

E. 谁有关于网络安全地资料啊

网络安全复习资料
第1-2章
1、 计算机网络定义（P1）
答：凡将地理位置不同的具有独立功能的计算机系统通过学习设备和通信线路连接起来，在网络软件支持下进行数据通信，资源共享和协同工作的系统。

2、 网络安全的五个属性（P2）
答：1、可用性。 可用性是指得到授权的尸体在需要时可以使用所需要的网络资源和服务。
2、机密性。 机密性是指网络中的信息不被非授权实体（包括用户和进程等）获取与使用。
3、完整性。 完整性是指网络真实可信性，即网络中的信息不会被偶然或者蓄意地进行删除、修改、伪造、插入等破坏，保证授权用户得到的信息是真实的。
4、可靠性。 可靠性是指系统在规定的条件下和规定的时间内，完成规定功能的概率。
5、不可抵赖性。 不可抵赖性也称为不可否认性。是指通信的双方在通信过程中，对于自己所发送或接受的消息不可抵赖。

3、 网络安全威胁定义（P2）
答：所谓网络安全威胁是指某个实体（人、时间、程序等）对某一网络资源的机密性、完整性、可用性及可靠性等可能造成的危害。

4、 哪种威胁是被动威胁（P3）
答：被动威胁只对信息进行监听，而不对其修改和破坏。

5、 安全威胁的主要表现形式（P4）
答：授权侵犯：为某一特定目标的被授权使用某个系统的人，将该系统用作其他未授权的目的。
旁路控制：攻击者发掘系统的缺陷或占全弱点，从而渗入系统。
拒绝服务：合法访问被无条件拒绝和推迟。
窃听：在监视通信的过程中获得信息。
电磁泄露：信息泄露给未授权实体。
完整性破坏：对数据的未授权创建、修改或破坏造成数据一致性损害。
假冒：一个实体假装成另外一个实体。
物理入侵：入侵者绕过物理控制而获得对系统的访问权。
重放：出于非法目的而重新发送截获的合法通信数据的拷贝。
否认：参与通信的一方时候都认曾经发生过此次通信。
资源耗尽：某一资源被故意超负荷使用，导致其他用户的服务被中断。
业务流分析：通过对业务流模式进行观察（有、无、数量、方向、频率），而使信息泄露给未授权实体。
特洛伊木马：含有觉察不出或无害程序段的软件，当他被运行时，会损害用户的安全。
陷门：在某个系统或文件中预先设置的“机关”，使得当提供特定的输入时，允许违反安全策略。
人员疏忽：一个授权的人出于某种动机或由于粗心讲信息泄露给未授权的人。

6、 什么是重放（P4）
答：出于非法目的而重新发送截获的合法通信数据的拷贝。

7、 什么是陷门（P4）
答：在某个系统或文件中预先设置的“机关”，使得当提供特定的输入时，允许违反安全策略。

8、 网络安全策略包括哪4方面（P6）
答：物理安全策略、访问控制策略、信息加密策略、安全管理策略。

9、 安全访问策略就是一组用于确认主体是否对客体具有访问权限的规则。

10、 P2DR模型的4部分，它的基本思想（P8）
答：P2DR模型包括4个主要部分，分别是：Policy—策略，Protection—保护，Detection—检测，Response—响应。
P2DR模型的基本思想是：一个系统的安全应该在一个统一的安全策略的控制和指导下，综合运用各种安全技术（如防火墙、操作系统身份认证、加密等手段）对系统进行保护，同时利用检测工具（如漏洞评估、入侵检测等系统）来监视和评估系统的安全状态，并通过适当的响应机制来将系统调整到相对“最安全”和“风险最低”的状态。

11、 PDRR模型的4部分（P10）
答：Protection（防护）、Detection（检测）、Response（响应）、Recovery（恢复）。

12、 TCP/IP参考模型，各层的名称、作用、主要协议（P16）
答：TCP/IP参考模型共有四层，从上至下分别为：应用层、传输层、网络层及网络接口层。
（1）、应用层：大致对应OSI的表示层、会话层、应用层，是TCP/IP模型的最上层，是面向用户的各种应用软件，是用户访问网络的界面，包括一些想用户提供的常用应用程序，如电子邮件、Web浏览器、文件传输、远程登录等，也包括用户在传输层智商建立的自己应用程序。
（2）、传输层：对应OSI的传输层。负责实现源主机和目的主机上的实体之间的通信。它提供了两种服务：一种是可靠的、面向连接的服务（TCP协议）；一种是无连接的数据报服务（UDP协议）。为了实现可靠传输，要在会话时建立连接，对数据进行校验和手法确认，通信完成后再拆除连接。
（3）、网络层：对应OSI的网络层，负责数据包的路由选择功能，保证数据包能顺利到达指定的目的地。一个报文的不同分组可能通过不同的路径到达目的地，因此要对报文分组加一个顺序标识符，以使目标主机接受到所有分组后，可以按序号将分组装配起来，恢复原报文。
（4）、网络接口层：大致对应OSI的数据链路层和物理层，是TCP/IP模型的最低层。它负责接受IP数据包并通过网络传输介质发送数据包。

13、 常用网络服务有哪些，它们的作用。（P35）
答：（1）、Telnet：Telnet是一种因特网远程终端访问服务。它能够以字符方式模仿远程终端，登录远程服务器，访问服务器上的资源。
（2）、FTP：文件传输协议FTP的主要作用就是让用户连接上一个远程计算机（这些计算机上运行着FTP服务器程序）查看远程计算机有哪些文件，然后把文件从远程计算机上下载到本地计算机，或把本地计算机的文件上传到远程计算机去。
（3）、E-Mail：它为用户提供有好的交互式界面，方便用户编辑、阅读、处理信件。
（4）、WWW：用户通过浏览器可以方便地访问Web上众多的网页，网页包含了文本、图片、语音、视频等各种文件。
（5）、DNS：用于实现域名的解析，即寻找Internet域名并将它转化为IP地址。

14、 安全访问策略就是一组用于确认主体是否对客体具有访问权限的规则。
答：

15、 IP头结构（P31）
答：IP头+数据，IP头有一个20字节的固定长度部分和一个可选任意长度部分。

16、 TCP头结构（P33）
答：端口源，目的端口，顺序号，确认号，头长度

17、 ping 指令的功能（P41）
答：ping命令用来检测当前主机与目的主机之间的连通情况，它通过从当前主机向目的主机发送ICMP包，并接受应答信息来确定两台计算机之间的网络是否连通，并可显示ICMP包到达对方的时间。当网络运行中出现故障时，利用这个实用程序来预测故障和确定故障源是非常有效的。

18、 ftp命令中上传和下载指令分别是什么。（P48）
答：put：上传文件到远程服务器。
get：下载文件到本地机器。

19、 怎么利用Tracert指令来确定从一个主机到其他主机的路由。（P44）
答：通过向目标发送不同IP生存时间值的ICMP数据包，Tracert诊断程序确定到目标所采取的路由。

第3-4章
20、 什么是基于密钥的算法（P52）
答：密码体制的加密、解密算法是公开的，算法的可变参数（密钥）是保密的，密码系统的安全性仅依赖于密钥的安全性，这样的算法称为基于密钥的算法。

21、 什么是对称加密算法、非对称加密算法（P54）
答：对称加密算法（Synmetric Algorithm），也称为传统密码算法，其加密密钥与解密密钥相同或很容易相互推算出来，因此也称之为秘密密钥算法或单钥算法。
非对称算法（Asynmetric Algorithm）也称公开密钥算法（Public Key Algorithm），是Whifield Diffie和Martin Hellman于1976年发明的，Ralph Merkle 也独立提出了此概念。

22、 对DES、三重DES进行穷举攻击，各需要多少次。（P68）
答： 2的112平方 和2的64平方 （数学表达方式）

23、 给定p、q、e、M，设计一个RSA算法，求公钥、私钥，并利用RSA进行加密和解密（P74）
答：公钥：n=P*q e=（p-1）（q-1）私钥d：e‘e右上角有个-1’（（mod（p-1）（q-1）））加密c=m‘右上角有e’（mod n） 解密 m=c‘右上角有d’（mod n）

24、 使用对称加密和仲裁者实现数字签名的步骤（P87）
答：A用Kac加密准备发给B的消息M，并将之发给仲裁者，仲裁者用Kac解密消息，仲裁者把这个解密的消息及自己的证明S用Kac加密，仲裁者把加密消息给B，B用于仲裁者共享的密钥Kac解密收到的消息，就可以看到来自于A的消息M来自仲裁者的证明S。

25、 使用公开密钥体制进行数字签名的步骤（P88）
答：A用他的私人密钥加密消息，从而对文件签名；A将签名的消息发送给B；B用A的公开密钥解消息，从而验证签名。

26、 使用公开密钥体制与单向散列函数进行数字签名的步骤（P89）
答：A使消息M通过单向散列函数H，产生散列值，即消息的指纹或称消息验证码，A使用私人密钥对散列值进行加密，形成数字签名S，A把消息与数字签名一起发给B，B收到消息和签名后，用A的公开密钥解密数字签名S，再用同样的算法对消息运算生成算列值，B把自己生成的算列值域解密的数字签名相比较。看是否匹配，从而验证签名。

27、 Kerberos定义。（P89）
答：Kerberos是为了TCP/IP网络设计的基于对称密码体系的可信第三方鉴别协议，负责在网络上进行可信仲裁及会话密钥的分配。

28、 PKI定义（P91）
答：PLI就是一个用公钥概念和技术实现的，为网络的数据和其他资源提供具有普适性安全服务的安全基础设施。所有提供公钥加密和数字签名服务的系统都可以叫做PKI系统。

第5-7章
29、 Windows 2000 身份认证的两个过程是（P106）
答：交互式登录和网络身份认证。

30、 Windows 2000中用户证书主要用于验证消息发送者的SID（P107）

31、 Windows 2000安全系统支持Kerberos V5、安全套接字层/传输层安全（SSL/TLS）和NTLM三种身份认证机制（P107）

32、 Windows 2000提供哪些功能确保设备驱动程序和系统文件保持数字签名状态（P109）
答：Windows文件保护，系统文件检查程序，文件签名验证。

33、 WINDOWS主机推荐使用的文件系统格式是NTFS

34、 使用文件加密系统对文件进行解密的步骤。（P113）
答：要解密一个文件，首先要对文件加密密钥进行解密，当用户的私钥与这个公钥匹配时，文件加密密钥进行解密，用户并不是唯一能对文件加密密钥进行解密的人，当文件加密密钥被解密后，可以被用户或恢复代理用于文件资料的解密。

35、 常见的Web服务安全威胁有哪些（P128）
答：（1）、电子欺骗：是指以未经授权的方式模拟用户或进程。
（2）、篡改：是指在未经授权的情况下更改或删除资源。
（3）、否认：否认威胁是指隐藏攻击的证据。
（4）、信息泄露：仅指偷窃或泄露应该保密的信息。
（5）、拒绝服务：“拒绝服务”攻击是指故意导致应用程序的可用性降低。
（6）、特权升级：是指使用恶意手段获取比正常分配的权限更多的权限。

36、 CGI提供了动态服务，可以在用户和Web服务器之间交互式通信(P129)

37、 JavaScript存在的5个主要的安全漏洞。（P131）
答：（1）、JavaScript可以欺骗用户，将用户的本地硬盘上的文件上载到Intemet上的任意主机。
（2）、JavaScript能获得用户本地硬盘上的目录列表，这既代表了对隐私的侵犯又代表了安全风险。
（3）、JavaScript能监视用户某时间内访问的所有网页，捕捉URL并将它们传到Internet上的某台主机中。
（4）、JavaScript能够触发Netscape Navigator送出电子邮件信息而不需经过用户允许。
（5）、嵌入网页的JavaScript代码是功盖的，缺乏安全保密功能。

38、 什么是Cookies，使用Cookies有什么安全隐患。(P132)
答：Cookies是Netscape公司开发的一种机制，用来改善HTTP协议的无状态性。

39、 IIS的安全配置主要包括哪几个内容（P133）
答：（1）、删除不必要的虚拟目录。
（2）、删除危险的IIS组件。
（3）、为IIS中的文件分类设置权限。
（4）、删除不必要的应用程序映射。
（5）、保护日志安全。

40、 SSL结构，包括SSL协议的层次，主要作用(P142)
答：SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。 SSL协议提供的服务主要有： 1）认证用户和服务器，确保数据发送到正确的客户机和服务器； 2）加密数据以防止数据中途被窃取； 3）维护数据的完整性，确保数据在传输过程中不被改变。

41、 SSL会话通过握手协议来创建（P143）

42、 什么是SET，它主要提供哪三种服务（P153）
答：SET本身不是支付系统，而使一个安全协议和规范的集合，是使用户能够在网络上以一种安全的方式应用信用卡支付的基础设施。
主要提供的三种服务：（1）、在参与交易的各方之间提供安全的通信通道。
（2）、使用X.509v3证书为用户提供一种信任机制。
（3）、保护隐私信息，这些信息只有在必要的时间和地点才可以由当事人双方使用。

43、 SET的参与者（P154）
答：（1）、持卡人（顾客）。 （2）、商家。 （3）、发卡机构。 （4）、代理商。 （5）、支付网关。 （6）、证书权威。

44、 SET协议使用SHA-1散列码和RSA数字签名来提供消息完整性（P154）

45、 SET协议使用X.509v3和RSA数字签名来提供持卡人账户认证（P154）

46、 双重签名机制的主要特点：双重签名机制可以巧妙的把发送给不同接受者的两条消息联系起来，而又很好的保护了消费者的隐私（P155）

47、 电子邮件不是一种“端到端”的服务，而是被称为“存储转发”服务。（P157）

48、 邮件网关的功能（P158）
答：（1）、预防功能。能够保护机密信息，防止邮件泄密造成公司的损失，用户可以理由邮件的接收者、发送者、标题、附件和正文来定制邮件的属性。
（2）、监控功能。快速识别和监控无规则的邮件，减少公司员工不恰当使用E-mail，防止垃圾邮件阻塞邮件服务器。
（3）、跟踪功能。软件可以跟踪公司的重要邮件，它可以按接收者、发送者、标题、附件和日期搜索。邮件服务器可以作为邮件数据库，可以打开邮件附件也可以存储到磁盘上。
（4）、邮件备份。可以根据日期和文件做邮件备份，并且可以输出到便利的存储器上整理归档。如果邮件服务器出现问题，则邮件备份系统可以维持普通的邮件功能防止丢失邮件。

49、 根据用途，邮件网关可分为哪三种（P158）
答：根据邮件网关的用途可将其分成：普通邮件网关、邮件过滤网关和反垃圾邮件网关。

50、 SMTP协议与POP3协议的区别：SMTP协议用于邮件服务器之间传送邮件，POP3协议用于用户从邮件服务器上把邮件存储到本地主机。（P159）
答：

51、 什么是电子邮件“欺骗”（P161）
答：电子邮件欺骗是在电子邮件中改变名字，使之看起来是从某地或某人发出来的行为。

52、 进行电子邮件欺骗的三种基本方法（P161）
答：（1）、相似的电子邮件地址；
（2）、修改邮件客户；
（3）、远程登录到25端口。

53、 PGP通过使用加密签字实现安全E-mai（P166）

54、 PGP的三个主要功能（P166）
答：（1）、使用强大的IDEA加密算法对存储在计算机上的文件加密。经加密的文件只能由知道密钥的人解密阅读。
（2）、使用公开密钥加密技术对电子邮件进行加密。经加密的电子邮件只有收件人本人才能解密阅读。
（3）、使用公开密钥加密技术对文件或电子邮件做数字签名，鉴定人可以用起草人的公开密钥鉴别真伪。

第8-10章
55、 防火墙定义（P179）
答：网络术语中所说的防火墙（Firewall）是指隔离在内部网络与外部网络之间的一道防御系统，它能挡住来自外部网络的攻击和入侵，保障内部网络的安全。

56、 什么是数据驱动攻击（P180）
答：入侵者把一些具有破坏性的数据藏匿在普通数据中传送到Internet主机上，当这些数据被激活时就会发生数据驱动攻击。

57、 防火墙的功能（P181）
答：（1）、可以限制未授权用户进入内部网络，过滤掉不安全服务和非法用户。
（2）、防止入侵者接近内部网络的防御设施，对网络攻击进行检测和告警。
（3）、限制内部用户访问特殊站点。
（4）、记录通过防火墙的信息内容和活动，为监视Internet安全提供方便。

58、 防火墙应的特性（P181）
答：（1）、所有在内部网络和外部网络之间传输的数据都必须通过防火墙。
（2）、只有被授权的合法数据，即防火墙安全策略允许的数据，可以通过防火墙。
（3）、防火墙本身具有预防入侵的功能，不受各种攻击的影响。
（4）、人机界面良好，用户配置实用方便，易管理。系统管理员可以方便地对防火墙进行设置，对Internet的访问者、被访问者、访问协议以及访问方式进行控制。

59、 防火墙的缺点（P182）
答：（1）、不能防范恶意的内部用户。
（2）、不能防范不通过防火墙的连接。
（3）、不能防范全部的威胁。
（4）、防火墙不能防范病毒。

60、 防火墙技术主要有包过滤防火墙和代理服务器（P182）

61、 包过滤防火墙的定义（P182）
答：包过滤防火墙又称网络层防火墙，它对进出内部网络的所有信息进行分析，并按照一定的信息过滤规则对信息进行限制，允许授权信息通过，拒绝非授权信息通过。

62、 包过滤的定义（P183）
答：包过滤（Packet Filtering）急速在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个包，根据包头信息来确定是否允许数据包通过，拒绝发送可疑的包。

63、 包过滤防火墙的优点（P183）
答：（1）、一个屏蔽路由器能保护整个网络。
（2）、包过滤对用户透明。
（3）、屏蔽路由器速度快、效率高。

64、 包过滤型防火墙工作在网络层（P183）

65、 三种常见的防火墙体系结构（P187）
答：（1）、双重宿主主机结构。 （2）、屏蔽主机结构。 （3）、屏蔽子网结构。

66、 屏蔽主机结构由什么组成（P188）
答：屏蔽主机结构需要配备一台堡垒主机和一个有过滤功能的屏蔽路由器。

67、 分布式防火墙的优点（P192）
答：（1）、增强的系统安全性。
（2）、提高了系统性能。
（3）、系统的扩展性。
（4）、应用更为广泛，支持VPN通信。

68、 病毒的定义（P199）
答：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

69、 病毒的生命周期（P200）
答：隐藏阶段、触发阶段、执行阶段。

70、 病毒的特征（P201）
答：（1）、传染性：传染性是病毒的基本特征。
（2）、破坏性：所有的计算机病毒都是一种可执行程序，而这一执行程序又不然要运行，所以对系统来讲，病毒都存在一个共同的危害，即占用系统资源、降低计算机系统的工作效率。
（3）、潜伏性：一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内隐藏在合法文件中，对其他系统进行传染，而不被人发现。
（4）、可执行性：计算机病毒与其他合法程序一样，是一段可执行性程序，但常常不是一个完整的程序，而使寄生在其他可执行程序中的一段代码。
（5）、可触发性：病毒因某个时间或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。
（6）、隐蔽性：病毒一般是具有很高编程技巧、短小精悍的程序。如果不经过代码分析，感染了病毒的程序与正常程序是不容易区别的。

71、 病毒的分类，蠕虫病毒属于一种网络病毒，CIH属于文件型病毒（P202）

72、 病毒的主要传播途径（P203）
答：（1）、通过移动储存设备来传播。
（2）、网络传播。
（3）、无线传播。

73、 蠕虫病毒的基本程序结构包括哪些模块（P209）
答：（1）、传播模块：负责蠕虫的传播。传播模块又可以分为三个基本模块：扫描模块、攻击模块和复制模块。
（2）、隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。
（3）、目的功能模块：实现对计算机的控制、监视或破坏等功能。

74、 木马（通过植入用户的计算机，获取系统中的有用数据）、蠕虫（P208）、网页病毒（P203）各有什么特点即它们各自定义。
答：木马：通过植入用户的计算机，获取系统中的有用数据。
蠕虫：是一种通过网络传播的恶性病毒。
网页病毒：也称网页恶意代码，是指网页中JavaApplet，JavaScript或者ActiveX设计的非法恶意程序。

第11-12章
75、 获取口令的常用方法(P225)
答：（1）、通过网络监听非法得到用户口令。
（2）、口令的穷举攻击。
（3）、利用系统管理员的失误。

76、 端口扫描器通常分为哪三类（P227）
答：数据库安全扫描器、操作系统安全扫描器和网络安全扫描器。

77、 端口扫描技术包括（P228）
答：（1）、TCPconnect()扫描。
（2）、TCP SYN扫描。
（3）、TCP FIN扫描。
（4）、IP段扫描。
（5）、TCP反向ident扫描。
（6）、FTP返回攻击。
（7）、UDP ICMP端口不能到达扫描。
（8）、ICMP echo扫描。

78、 如何发现Sniffer（P230）
答：（1）、网络通信掉包率特别高。
（2）、网络宽带出现异常。
（3）、对于怀疑运行监听程序的主机，用正确的IP地址和错误的物理地址去PING，正常的机器不接收错误的物理地址，出于监听状态的机器能接收，这种方法依赖系统的IPSTACK,对有些系统可能行不通。
（4）、往网上发送大量包含不存在的物理地址的包，由于监听程序要处理这些包，将导致性能下降，通过比较前后该机器的性能（Icmp Echo Delay等方法）加以判断。
（5）、另外，目前也有许多探测sniffer的应用程序可以用来帮助探测sniffer，如ISS的anti-Sniffer、Sentinel、Lopht的Antisniff等。

79、 防御网络监听的方法（P231）
答：（1）、从逻辑上火物理上对网络分段。
（2）、以交换式集线器代替共享式集线器。
（3）、使用加密技术。
（4）、划分VLAN。

80、 什么是拒绝服务攻击（P233）
答：拒绝服务攻击是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其他用户提供服务的一种攻击方式。

81、 分布式拒绝服务攻击体系包括哪三层（P234）
答：（1）、攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。
（2）、主控端：主控端是攻击者非法入侵并控制的一些主机，这些主机还分别控制大量 的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。
（3）、代理端：代理端同样也是攻击者入侵并控制的一批主机，在它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，由它向受害者主机实际发起进攻。

82、 木马入侵原理（P236）
配置木马，传播木马，运行木马，信息泄露，建立连接，远程控制。
83、 入侵检测定义（P241）
答：入侵检测（Intrusion Detection）,顾名思义，即是对入侵行为的发觉。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System,IDS）。

84、 入侵检测过程包括信息收集和信号分析（P243）

85、 入侵检测过程中的三种信号分析方法（P243）
答：（1）、模式匹配的方法：模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。这种分析方法也称为误用检测。
（2）、统计分析的方法：统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统一描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。
（3）、完整性分析的方法：完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性的变化。

86、 按照数据来源，入侵检测系统可分为哪三种（P244）
答：（1）、基于主机的入侵检测系统。
（2）、基于网络的入侵检测系统。
（3）、采用上述两种数据来源的分布式的入侵检测系统。

87、 什么是模式匹配方法（P244）
答：模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。这种分析方法也称为误用检测。

88、 基于网络的入侵检测系统的组成（P246）
答：网络安全数据库，安全配置机构，探测器，分析引擎。

89、 网络管理有哪五大功能(P258)
答：配置管理（Configuration Management）、性能管理（Performance Management）、故障管理（Fault Management）、计费管理（Accounting Management）、安全管理（Security Management）。

90、 OSI系统的管理结构（P262）
答：管理系统中的代理实现被管理对象的访问，被管理对象资源的感念性存储称为管理信息库，管理者和代理之间使用OSI通信协议再进行通信，其中CMIP是网络管理的应用层协议，在OSI网络管理中起关键作用

91、 TCP/IP网络中应用最为广泛的网络管理协议是SNMP。(P264)

92、 网络管理体系结构的三种模型（P293）
答：集中式体系结果、分层式体系结构、分布式体系结构。

F. 计算机网络安全的应用论文开题报告

计算机网络得发展为现代生活带来了极大的便利,但同时也隐藏着巨大的安全风险,近年来网络犯罪率是不断上升,其中一个重要的原因就是计算机网络安全防护不到位。下面是我为大家整理的计算机网络安全的应用论文开题 报告 ，供大家参考。

计算机网络安全的应用论文开题报告篇一

《 计算机网络安全漏洞及解决 》

摘要：在计算机网技术不断推广的情况下，人们的生活方式、交际方式等都发生着巨大变化，不仅可以节约时间，还能大大提高工作效率、生产效率等，对于推动我国市场经济快速发展有着重要影响。但是，计算机网络存在着一些安全漏洞，给用户使用网络带来一定安全威胁，必须采取有效的解决 措施 ，才能真正实现计算机网络的安全运行。本文就计算机网络当前的安全漏洞进行全面分析，提出计算机网络安全漏洞的解决措施，以促进计算机网络运行稳定性、安全性等有效提高。

关键词：计算机网络;安全漏洞;解决措施

一、计算机网络当前存在的主要安全漏洞

(一)计算机网络软件方面。在计算机网络的正常运行中，计算机软件是非常重要的组成部分之一，一般在使用前都需要先通过网络下载，才能真正满足相关操作要求。但是，在下载的过程中，一些病毒也可能一起进入计算机，致使计算机网络的安全性受到威胁。

(二)计算机硬件方面。根据计算机网络的运行情况来看，计算机硬件是非常重要的基础组成部分，如果其出现安全问题，则会给计算机网络的正常使用带来极大影响。当前，计算机硬件方面的安全漏洞有使用不正确，致使计算机硬件设施的正常通信受到严重影响。一般情况下，计算机网络出现这种情况主要是受到黑客的攻击，导致用户的财产信息、个人信息等大量被窃，给计算机网络的安全运行造成严重影响。

(三)计算机 操作系统 方面。在计算机网络的整个组成结构中，计算机操作系统可以保证本地连接与网络系统的正常运行，如果不注重计算机操作系统的安全维护，则有可能出现安全漏洞，最终降低计算机的整体性能，甚至出现计算机无法正常使用的情况。与此同时，计算机系统没有跟随计算机 网络技术 的发展及时更新和升级，致使计算机操作系统和计算机之间出现矛盾，最终出现泄漏用户网络信息的安全漏洞，给计算机网络的安全运行造成极大影响。

(四)人为操作方面。根据用户的使用目的进行计算机网络的操作，可以真正达到使用计算机网络的目的。但是，如果用户不能正确操作计算机网络，或者是操作失误，则有可能出现很多病毒，也给黑客、不法人员提供入侵的机会，最终威胁计算机网络的正常运行，是计算机网络存在的主要安全漏洞之一。

二、计算机网络安全漏洞的有效解决措施

(一)计算机网络软件方面。根据上述计算机网络软件存在的安全漏洞，应采取的有效解决措施主要包括如下两个方面：一是，使用安全防火墙来对外界的访问、病毒等进行严格审查，从而避免计算机造成不合理的安全攻击。通过设置合适的防火墙，计算机网络的运行效率可以得到有效提高，用户的个人信息、网络信息等的安全性都能得到提高，最终给计算机的正常运行带来极大影响。二是，在计算机存在病毒的情况下，需要根据计算机的系统来进行杀毒软件的合理选用，则能获得较好的杀毒效果。

(二)计算机网络硬件方面。根据计算机网络硬件的使用情况，选用合适的维护设备，可以有效解决计算机网络硬件存现的安全漏洞。例如：在计算机网络正常运行的过程中，定期对硬盘、网线等进行安全检查、维修等，不但可以保证相关设备的安全使用，还能促进网络安全性的有效提高，以及在维护设备出现问题时，促使计算机使用寿命真正延长。

(三)网络操作方面。在针对网络操作方面的安全漏洞进行有效解决时，需要对操作人员进行定期的专业培训，并提高他们的专业水平、操作能力等，才能真正实现网络操作理论知识的有效应用，最终避免错误操作、不规范操作等带来的安全威胁，最终保障计算机网络的安全运行。与此同时，加强计算机网络运行过程的安全管理，加强计算机网络信息的安全维护，对于提高计算机网络的运行稳定性有着极大作用。

(四)注重法制建设。在计算机网络时常出现安全漏洞的情况下，加强计算机通信方面的法制建设，不仅可以增强用户的安全意识，还能真正防范各种不法行为的入侵，最终提高计算机网络的运行安全性。因此，不断完善我国当前使用的《保密法》，并加大宣传力度和投入力度等，才能真正提高民众的参与性，最终保障计算机网络用户使用过程的安全性。

三、结束语

对计算机网络的运行情况进行整体分析发现，针对其当前存在的主要安全漏洞采取合适的解决措施，才能真正消除计算机网络的安全威胁，最终保障计算机网络的运行安全性和稳定性等，对于促进我国计算机事业可持续发展有着重要影响。

参考文献

[1]黄麟.计算机网络安全漏洞及解决措施分析[J].信息通信,2015,04:163.

[2]俞彤.计算机网络安全漏洞防范分析[J].计算机光盘软件与应用,2014,08:155-157.

计算机网络安全的应用论文开题报告篇二

《 网络安全管理系统设计思考 》

【摘要】计算机网络技术不断发展，现在已经被广泛的应用到各个领域中，网络安全与网络管理也逐渐成为研究管理的要点。虽然一直有各项新型技术被应用到安全防护方面，但是黑客入侵案件不断发生，危及网络信息安全，必须要采取措施来建立完善网络安全管理系统。本文针对网络安全现状，对安全管理系统的设计进行了简要分析。

【关键词】网络安全;管理系统;安全网关

计算机网络的应用效果影响着社会经济发展，同时也关乎人们生活质量，一直以来都是重点研究内容。但是在网络技术应用普及的同时，受网络环境特点影响，存在较大的安全风险，必须要采取措施来建立完善安全管理系统。网络安全管理系统的建设，需要明确设计目标，然后合理选择应用技术，设计安全网关，确保安全管理系统的安全性。

1网络安全管理系统分析

网络环境为一个开放的状态，在运行过程中很容易受外界干扰，进而会发生安全事故。建立网络安全管理系统，对保证信息网络运行安全性与稳定性具有重要意义。信息安全系统应具有完整性、保密性以及不可否认性特点，即保证信息来源、去向以及内容的准确性，并且在运行过程中不会发生泄露或者扩散等情况。另外，不可否认性即确定消息发送以及接收者无法否认自己操作行为。为有效防御网络系统应用过程中遇到的攻击行为，需要重点做好防火墙、漏洞扫描、防病毒以及入侵检测等方面的研究，提高网络设备以及线路自身的可靠性[1]。在此基础上，还需要对各项安全设备进行统筹分析，构建一个网络安全管理系统，减少各类安全事故的发生，提高网络信息安全性。

2网络安全管理系统设计方案

2.1系统模块设计

网络监控系统模块可以分为多个分项，如用户登录、用户管理、单位管理、网络连接监控、网络流量监控、危险数据报警以及数据统计分析等，不同模块功能不同，相互之间具有一定联系。例如系统登录模块，操作人员将用户名、编号、密码等信息输入到登录界面，然后通过与数据库内信息对比一致，允许进入系统，相反会显示信息错误，拒绝进入系统[2]。网络流量监控模块，即主要对网络流入流出数据进行监控，包括流入流出数据总量、速度、最高速度、平均流速等。

2.2输入输出设计

2.2.1输入设计

要保证系统输入数据的正确性，系统设计时应遵循“简单性、最小量、早检验、少转换”原则，对统计报表与数据库内容选择相同设计形式。通过Delphi中数据存取组件建立应用程序实现数据库的连接，保证用户在任何输入界面输入数据均可以对应数据内字段，满足信息输入需求。

2.2.2输出设计

输出设计时需要综合分析用户需求，遵循易操作原则，提高交互界面的友好性。系统信息录入、数据检索以及统计分析通过交互界面完成，利用Delphi专门设计统计分表报表进行打印[3]。其中，对于打印硬件的设计，应能够直接通过各类型显示终端、多媒体设备完成显示输出，以及能够利用各类型打印机完成文件的打印输出。

2.3数据库设计

数据库设计目的是提高计算机数据信息的存储，分为规范化设计、数据、实体、关系的完整性设计、建立数据库实体与对象以及数据库设计文档等。JAVA应用到数据库设计，为一种数据访问机制，可以提供统一接口来访问各类型数据库服务器，通过应用程序来实现与数据库的稳定连接。本文分析系统，数据库设计共包括两个部分六个数据表，一部分为本地数据库，包括网络流量表、本机详细表与网络连接表。另一部分为远程数据库，包括网络流量表、网络连接表、单位表以及用户表。

3网络安全管理系统设计要点分析

3.1各功能模块算法

3.1.1系统登录模块

设置参数：UserName获取用户信息，Password获取口令信息。将获得的用户信息与输入信息进行对比，如果数据值相同，则返回boolean值true，允许用户登入系统;如果数据值不同，则返回false，提示信息错误重新登录。

3.1.2用户管理模块

为保证系统运行安全性，需要对不同用户进行权限设置，不同权限用户登录要求不同，但是均需要按照要求登录验证。如果为超级用户权限登录，可以对当前用户进行管理与设置，并且可以随时增加用户并设置权限。如果以普通用户权限登录，则只允许对个人信息的修改，以及本级别权限对应操作。

3.1.3网络流量输入模块

以流出、流入流量大小信息为依据，将网络流量保存到本地数据中，包括MAC地址、IP地址、时间、日期、流入流出数据量等。在下一次启动时，需要自动将上次启动后产生变动的数据内容保存到远程数据库中，整个操作工程需要通过相应组件与远程数据库连接完成。

3.1.4网络连接输入模块

将网络连接情况数据信息保存到本地数据库内，包括MAC地址、本地IP地址、远程IP地址、时间、日期、连接类型以及连接状态等。将各组件与本地、远程数据库进行连接，确保在系统下次启动时，能够将上次启动产生的数据，以及变动后内容全部存储到远程数据库内。

3.1.5网络查询模块

主要是来完成网络连接状态、网络流量变动等数据信息的统分析，对权限内计算机运行某时间段的连接与流量情况进行查询。然后通过查询模块来对各项数据进行分析，得出分析结果后，有针对性的提出安全管理措施。

3.2用户界面设计

为提高系统使用安全性，应对各限制系统进行操作权限设计，如用户登录模块，需要对用户信息与权限进行验证，确定信息无误后才可进入系统，相反不允许登录。登录成功后显示系统操作主界面，包括系统选择区、功能按钮区与条件选择区，选择目录树形式设计单位选择区，根据不同级别设置相应对象。同时还需要对查询对象进行选择设置，如网络流量、网络连接以及查询时间段等。

4结束语

提高网络安全性是计算机网络技术研究的要点，对提高网络信息应用效果具有重要意义。除了要对网络设备进行安全防护处理外，还应针对实际情况建立网络安全管理系统，在确定系统框架后，对不同功能模块进行分析，确保其功能的正常发挥。通过安全管理系统，对网络运行流量、连接以及信息等进行管理，提高网络抵御外界攻击的功能。

参考文献

[1]高瞻.网格环境下的校园网络安全管理系统设计与实现[D].电子科技大学，2013.

[2]张熙.多域网络安全管理系统策略一致性的研究与设计[D].北京邮电大学，2009.

[3]朱宾.内部网络安全管理系统的研究与实现[D].北京邮电大学，2010.

计算机网络安全的应用论文开题报告篇三

《 信息时代计算机网络安全及防护 》

【摘要】近年来随着科学技术水平的不断发展及进步，互联网的应用也愈趋广泛。计算机网络的迅猛发展标志着人们正式迈入信息时代。在信息时代的大背景下，网络信息安全问题得到广泛关注，如何做好相应的防护工作已经成为人们亟待解决的重要问题，本文将从分析信息时代计算机网络安全危险因素入手， 总结 相关防护策略。

【关键词】信息时代;计算机网络安全;防护策略

现如今计算机网络已经成为人们日常生活中必不可少的工作、生活“用品”。随着人们对计算机网络依赖性的愈趋提高，网络安全危险性也逐渐增加。网络信息安全是一门需要应用到多学科知识的系统，其不仅包括了计算机技术，而且也涉及到信息安全技术方面的知识。在对网络信息或系统硬软件进行维护的过程中，做好加密工作是确保网络信息安全性的重要屏障。随着科学技术的不断发展，为确保用户的信息安全，不断更新强化网络安全防护措施十分重要。

1前言

1.1信息时代

近年来随着科技水平的不断发展，信息时代逐渐走入人们的生活，随着计算机网络技术的普及以及应用的不断深入，信息全球化进程不断加快，网络信息已经渗入到各个行业当中，互联网以及信息行业的不断发展标志着信息时代的来临。现如今各行各业或各个领域均可见到“大数据”的身影，其可在人们工作当中将更多消息或事实转化为条理清晰的数据，以便为人们提供更为清晰的参考，从而减轻人们的工作量，为人们的工作、生活以及学习等带来便捷。信息时代的来临也会在一定程度上引起社会的变革。

1.2信息时代下的计算机网络安全性

信息时代的来临使得人们多数工作或生活均通过互联网时间，许多重要的信息或数据存储在了网络数据库当中，因此为确保计算机信息数据的存储安全性，积极寻求有效的网络信息防护策略十分重要。在信息时代计算机网络信息安全防护涉及到的技术及知识面较广，只有应用多种技术，结合多种科技成果才能不断提高防护效果，确保计算机网络的安全性。在计算机网络系统的运行过程当中不断寻找可能对信息安全构成威胁的危险因素，并建立具有较强针对性的网络防护体系，并进行不断完善，以便促使防护体系可适应不同安全威胁，提高防护性能。

2信息时代背景下计算机网络安全相关危险因素分析

2.1自然灾害对计算机网络安全的威胁

现如今计算机信息系统多依靠智能机器进行运行，环境因素的影响会导致设备的硬件出现退化，从而在一定程度上减少了计算机的使用寿命，降低了计算机的使用性能。而在应用网络系统的阶段，因计算机网络系统中Internet技术具有开放性的特点，故其较易受到各个方面的攻击。另外在对TCP/IO协议依赖阶段，安全性相对较低，这不仅导致网络系统在实际运行阶段会存在欺骗攻击情况，甚至可能存在数据截取以及篡改的风险。

2.2用户操作不当以及电脑病毒对计算机网络安全的威胁

用户在使用计算机的过程中，因多数缺乏必要的安全意识，从而导致用户口令设置过为简单，这不仅增加了用户帐户被盗的风险，而且也在极大程度上增加了网络安全危险性。例如人们最为熟悉的人为恶意攻击，也就是俗称的黑客入侵。这种恶意攻击不仅具有主动攻击行为，而且其也具有被动性攻击行为。该种恶意攻击会对计算机网络信息的有效性构成破坏，而且也会在极大程度上损伤信息的完整性。被动型破坏则是指在对机密性网络信息窃取过程中为计算机用户造成的种种损失。计算机病毒是人们十分熟悉的一种网络安全威胁，计算机病毒可能隐藏在一些可执行程序当中，其可能在系统控制过程中实现文件的复制以及传递，从而导致网络系统工作速度减慢甚至是瘫痪。计算机病毒具有较强的传染性以及潜伏性，其在对文件进行损坏或删除的过程中甚至可能造成系统硬件的损坏，可能为用户带来更为严重的损失。

2.3垃圾邮件以及计算机犯罪对网络信息安全构成的威胁

电子邮件本身就具有一定的公开性，在电子邮件传播的过程点那个中，可以在别人的电子邮件中强制插入自己的邮件，并结合计算病毒为计算机网络系统造成直接的破坏。另外垃圾信息不仅可通过电子邮件进行传递，新闻等也会强制性传播类似商业、宗教等信息。在计算机网络当中窃取信息的主要原因是导致间谍软件的入侵，其不仅会损害计算机系统，而且也会在此过程中盗取用户的个人信息，泄露用户的隐私。上述危险因素不仅为计算机网络信息安全性带来较大威胁，而且也会在一点程度上导致有害信息的传播。

3计算机网络信息安全防护策略分析

3.1构建计算机网络信息安全防护体系

信息时代计算机网络建立安全防护体系除了要结合目前计算机信息攻击手段、防护网络运行过程中的安全性以外，也要同时注意做好对网络安全性的评估工作。目前网络信息安全防护主要包含3个模块:(1)网络安全评估，主要是进行系统漏洞扫描、网络访问控制、评估网络管理等。(2)安全防护，主要是构建病毒防护体系，进行网络安全监控以及进行网络信息数据保密。(3)网络安全服务，构建应急服务体系，进行数据恢复以及安全技术培训等。在信息时代，计算机网络安全防护除了要做好以上防护措施外，也需要注意以下几个环节。

3.2设置防火墙并强化帐户安全管理

因用户帐号是进行某些数据浏览、保存、修改的基础。网络系统遭受攻击往往会先从窃取用户帐户及密码开始。因此用户在进行帐号密码设定的过程中应尽量使用不同密码组合，并要定期更换密码。目前网络防火墙技术主要是为了强化网络访问控制的安全性，避免外部网络以非法的方式控制系统，以便对内部网络的操作进行保护。以此安装网络防火墙十分必要，另外对于个人使用计算机而言，同时结合杀毒软件进行安全防护可进一步提高防护的有效性。

3.3使用漏洞软件，并进一步完善网络监控技术

及时安装漏洞补丁软件，对漏洞进行扫描，以便及时发现并解决安全隐患，避免信息或数据的泄露。如做好360安全卫士的杀毒，发现软件漏洞要进行及时修补。另外在应用入侵检测技术的过程当中往往需要结合统计技术以及其他规则，另外也要注意应用网络通信技术，以便实现对网络计算机系统的直接监控。在进行统计分析的过程中则要注意动作模式的应用。

4结语

在信息时代背景下要更为重视对计算机网络信息安全性的保护，注意信息传播、保存过程中的安全性。因为计算机网络的开放性以及覆盖性具有建立稳定、安全网络运行环境的要求，因此积极强化计算机安全信息技术的发展及应用具有十分重要的积极意义。

参考文献:

[1]彭珺，高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程，2014，35(01):121～124.

[2]如先姑力•阿布都热西提.信息时代的计算机网络安全及防护策略研究[J].电脑知识与技术，2015，32(06):30～31，36.

[3]汪东芳，鞠杰.大数据时代计算机网络信息安全及防护策略研究[J].无线互联科技，2015，13(24):40～41.

有关计算机网络安全的应用论文开题报告推荐：

1. 计算机网络安全发展论文开题报告

2. 计算机安全论文开题报告

3. 大学计算机信息管理的论文开题报告范文

4. 计算机专业毕业论文开题报告范文

5. 计算机病毒防范毕业论文开题报告

6. 关于计算机软件的毕业论文开题报告范文

7. 计算机研究生论文开题报告范文

G. 网络方案设计过程主要分哪几个步骤

步骤如下：

1，需求调研

2，需求分析

3，概要设计

4，详细设计

设计方案内容包括：网络拓扑、IP地址规划、网络设备选型等等。

(7)搜索软件网络安全的设计依据扩展阅读：

网络工程设计原则

网络信息工程建设目标关系到现在和今后的几年内用户方网络信息化水平和网上应用系统的成败。在工程设计前对主要设计原则进行选择和平衡，并排定其在方案设计中的优先级，对网络工程设计和实施将具有指导意义。

1，实用、好用与够用性原则

计算机与外设、服务器和网络通信等设备在技术性能逐步提升的同时，其价格却在逐年或逐季下降，不可能也没必要实现所谓“一步到位”。所以，网络方案设计中应采用成熟可靠的技术和设备，充分体现“够用”、“好用”、“实用”建网原则，切不可用“今天”的钱，买“明、后天”才可用得上的设备。
2，开放性原则

网络系统应采用开放的标准和技术，资源系统建设要采用国家标准，有些还要遵循国际标准(如：财务管理系统、电子商务系统)。其目的包括两个方面：第一，有利于网络工程系统的后期扩充；第二，有利于与外部网络互连互通，切不可“闭门造车”形成信息化孤岛。

3，可靠性原则

无论是企业还是事业，也无论网络规模大小，网络系统的可靠性是一个工程的生命线。比如，一个网络系统中的关键设备和应用系统，偶尔出现的死锁，对于政府、教育、企业、税务、证券、金融、铁路、民航等行业产生的将是灾难性的事故。因此，应确保网络系统很高的平均无故障时间和尽可能低的平均无故障率。

4， 安全性原则

网络的安全主要是指网络系统防病毒、防黑客等破坏系统、数据可用性、一致性、高效性、可信赖性及可靠性等安全问题。为了网络系统安全，在方案设计时，应考虑用户方在网络安全方面可投入的资金，建议用户方选用网络防火墙、网络防杀毒系统等网络安全设施；网络信息中心对外的服务器要与对内的服务器隔离。

5， 先进性原则

网络系统应采用国际先进、主流、成熟的技术。比如，局域网可采用千兆以太网和全交换以太网技术。视网络规模的大小(比如网络中连接机器的台数在250台以上时)，选用多层交换技术，支持多层干道传输、生成树等协议。

6，易用性原则

网络系统的硬件设备和软件程序应易于安装、管理和维护。各种主要网络设备，比如核心交换机、汇聚交换机、接入交换机、服务器、大功率长延时UPS等设备均要支持流行的网管系统，以方便用户管理、配置网络系统。

7，可扩展性原则

网络总体设计不仅要考虑到近期目标，也要为网络的进一步发展留有扩展的余地，因此要选用主流产品和技术。若有可能，最好选用同一品牌的产品，或兼容性好的产品。在一个系统中切不可选用技术和性能不兼容的产品。

H. 什么是网络安全，常用的安全措施有那些

网络安全（Network Security）指利用网络技术、管理和控制等措施，保证网络系统和信息的保密性、完整性、可用性、可控性和可审查性受到保护。即保证网络系统的硬件、软件及系统中的数据资源得到完整、准确、连续运行与服务不受干扰破坏和非授权使用。ISO/IEC27032的网络安全定义则是指对网络的设计、实施和运营等过程中的信息及其相关系统的安全保护。

网络安全的主要措施包括：操作系统安全、数据库安全、网络站点安全、病毒与防护、访问控制、加密与鉴别等方面，具体内容将在以后章节中分别进行详细介绍。从层次结构上，也可将网络安全相关的措施概括为以下五个方面。网络安全措施及体系见图书。

1）实体安全。也称物理安全，指保护网络设备、设施及其他媒介免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施及过程。&具体参见1.5介绍。

2）系统安全。系统安全包括网络系统安全、操作系统安全和数据库系统安全。主要以网络系统的特点、条件和管理要求为依据，通过有针对性地为系统提供安全策略机制、保障措施、应急修复方法、安全要求和管理规范等，确保整个网络系统安全。

3）运行安全。包括网络系统的运行安全和访问控制安全，如用防火墙进行内外网隔离、访问控制、系统恢复。运行安全包括：内外网隔离机制、应急处置机制和配套服务、网络系统安全性监测、网络安全产品运行监测、定期检查和评估、系统升级和补丁处理、跟踪最新安全漏洞、灾难恢复机制与预防、安全审计、系统改造、网络安全咨询等。

4）应用安全。由应用软件平台安全和应用数据安全两部分组成。应用安全包括：业务应用软件的程序安全性测试分析、业务数据的安全检测与审计、数据资源访问控制验证测试、实体身份鉴别检测、业务数据备份与恢复机制检查、数据唯一性或一致性、防冲突检测、数据保密性测试、系统可靠性测试和系统可用性测试等。

5）管理安全。也称安全管理，主要指对人员、网络系统和应用与服务等要素的安全管理，涉及的各种法律、法规、政策、策略、机制、规范、标准、技术手段和措施等内容。主要包括：法律法规管理、政策策略管理、规范标准管理、人员管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运营管理、机房管理、安全培训管理等。

I. 网络安全涉及什么方面

玩王者王完全设计什么方面点就网王完全设计什么方面点就网上查询具体的网络的安全性王完全设计什么方面点就网上查询具体的网络的安全设计的方王完全设计什么方面点就网上查询具体的网络的安全设计的方面内容是什么效果啊网络安全设计什么方面？点击网络查询具体的网络的安全设计的方面，内容是什么，网络安全设计什么方面？点击网络查询具体的网络的安全设计的方面，内容是什么，效果是是什网络安全设计什么方面？点击网络查询具体的网络的安全设计的方面，内容是什么，效果是是什么就知道了。

J. 网络安全等级保护2.0国家标准

等级保护2.0标准体系主要标准如下：1.网络安全等级保护条例2.计算机信息系统安全保护等级划分准则3.网络安全等级保护实施指南4.网络安全等级保护定级指南5.网络安全等级保护基本要求6.网络安全等级保护设计技术要求7.网络安全等级保护测评要求8.网络安全等级保护测评过程指南。
第一级（自主保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；
第二级（指导保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；
第三级（监督保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；
第四级（强制保护级），等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；
第五级（专控保护级），等级保护对象受到破坏后，会对国家安全造成特别严重损害
相较于1.0版本，2.0在内容上到底有哪些变化呢？
1.0定级的对象是信息系统，2.0标准的定级的对象扩展至：基础信息网络、云计算平台、物联网、工业控制系统、使用移动互联技术的网络以及大数据平台等多个系统，覆盖面更广。
再者，在系统遭到破坏后，对公民、法人和其他组织的合法权益造成特别严重损害的由原来的最高定为二级改为现在的最高可以定为三级。
最后，等保2.0标准不再强调自主定级，而是强调合理定级，系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，定级更加严格。
总结通过建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。 法律依据：《中华人民共和国网络安全法》
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
（四）采取数据分类、重要数据备份和加密等措施；
（五）法律、行政法规规定的其他义务。
第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。