網絡安全知識點

【篇一：網絡安全知識點】

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，

不因偶爾的或者惡意的原因而遭受到破壞、更改、泄露，系統持續

可靠正常地運行，網絡服務不中斷。

一、基本概念

網絡安全的詳細含義會伴隨角度的變化而變化。例如：從顧客（個

人、企業等）的角度來說，他們但愿波及個人隱私或商業利益的信息

在網絡上傳播時受到機密性、完整性和真實性的保護，防止其他人

或對手運用竊聽、冒充、篡改、抵賴等手段侵犯顧客的利益和隱

私。

二、重要特性

網絡安全應具有如下五個方面的特性：

保密性：信息不甚露給非授權顧客、實體或過程，或供其運用的特

性。

完整性：數據未經授權不能進行變化的特性。即信息在存儲或傳播

過程中保持不被修改、不被破壞和丟失的特性。

可用性：可被授權實體訪問并按需求使用的特性。即當需要時能否

存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關信息

的正常運行等都屬于對可用性的襲擊；

可控性：對信息的傳播及內容具有控制能力。

可審查性：出現的安全問題時提供根據與手段。

從網絡運行和管理者角度說，他們但愿對當地網絡信息的訪問、讀

寫等操作受到保護和控制，防止出現陷門、病毒、拒絕服務和網絡

資源非常占用和非常控制等威脅，制止和防御網絡黑客的襲擊。對

安全保密部門來說，他們但愿對非常的、有害的或波及國家機密的

信息進行過濾和防堵，防止機要信息泄露，防止對社會產生危害，

對國家導致巨大損失。從社會教育和意識形態角度來講，網絡上不

健康的內容，會對社會的穩定和人類的發展導致阻礙，必須對其進

行控制。

伴隨計算機技術的迅速發展，在計算機上處理的業務也由基于單機

的數學運算、文獻處理，基于簡樸連接的內部網絡的內部業務處

理、等發展到基于復雜的內部網(intranet)、企業外部網(extranet)、

全球互聯網(internet)的企業級計算機處理和世界范圍內的信息共享

和業務處理。在處理能力提高的同步，連接能力也在不停的提高。

但在連接能力信息、流通能力提高的同步，基于網絡連接的安全問

題也日益突出，整體的網絡安全重要表目前如下幾種方面：網絡的

物理安全、網絡拓撲構造安全、網絡安全、應用安全和網絡管理的

安全等。

因此計算機安全問題，應當像每家每戶的防火防盜問題同樣，做到

防備于未然。甚至不會想到你自己也會成為目的的時候，威脅已經

出現了，一旦發生，常常措手不及，導致極大的損失。

三、它與網絡性能和功能的關聯

一般，安全與性能和功能是一對矛盾的關聯。假如某個關聯不向外

界提供任何服務(斷開)，外界是不也許構成安全威脅的。不過，企業

接入國際互連網絡，提供網上商店和電子商務等服務，等于一種內

部的網絡建成了一種開放的網絡環境，多種安全問題也隨之產生。

構建網絡安全，首先由于要進行認證、加密、監聽，分析、記錄等

工作，由此影響網絡效率，并且減少客戶應用的靈活性;另首先也增

長了管理費用。

不過，來自網絡的安全威脅是實際存在的，尤其是在網絡上運行關

鍵業務時，網絡安全是首先要處理的問題。

選擇合適的技術和產品，制定靈活的網絡安全方略，在保證網絡安

全的狀況下，提供靈活的網絡服務通道。

采用合適的安全體設計和管理計劃，可以有效減少網絡安全對網絡

性能的影響并減少管理費用。

全方位的安全：

訪問控制：通過對特定網段、服務建立的訪問控制體系，絕大多數

襲擊制止在抵達襲擊目的之前。

檢查安全漏洞：通過對安全漏洞的周期檢查，雖然襲擊可抵達襲擊

目的，也可使絕大多數襲擊無效。

襲擊監控：通過對特定網段、服務建立的襲擊監控，可實時檢測出

絕大多數襲擊，并采用對應的行動（如斷開網絡連接、記錄襲擊過

程、跟蹤襲擊源等）。

加密通訊：積極的加密通訊，可使襲擊者不能理解、修改敏感信

/息、O

認證：良好的認證可防止襲擊者假冒合法顧客。

備份和恢復：良好的備份和恢復機制，可在襲擊導致損失時，較快

地恢復數據和系統服務。

多塞防御，襲擊者在突破第一道防線后，延緩或阻斷其抵達襲擊目

的。

隱藏內部信息，使襲擊者不能理解系統內的基本狀況。

設置安全監控中心，為信息系統提供安全體系管理、監控，渠護及

緊急狀況服務。

四、網絡安全分析物理安全分析

網絡的物理安全是整個網絡系統安全的前提。在工程建設中，由于

網絡系統弱電工程，耐壓值很低。因此，在網絡工程的設計和施工

中，必須優先考慮保護人和網絡設備不受電、火災和雷擊的侵害;考

慮布線系統與照明電線、動力電線、通信線路、暖漁管道及冷熱空

漁管道之間的距離;考慮布線系統和絕緣線及接地與焊接的安全;必須

建設防雷系統，防雷系統不僅考慮建筑物防雷，還必須考慮計算機

及其他弱電耐壓設備的防雷。總體來說物理安全的風險重要有，地

震、渴災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被

盜、被毀;電磁干擾;線路截獲;高可用性的硬件;雙機多冗余的設計;機

房環境及報警系統、安全意識等，因此要盡量防止網絡的物理安全

風險。網絡構造的安全分析

網絡拓撲構造設計也直接影響到網絡系統的安全性。假如在外部和

內部網絡進行通信時，內部網絡的機器安全就會受到威脅，同步也

影響在同一網絡上的許多其他系統。透過網絡傳播，還會影響到連

上internet/intrant的其他的網絡;影響所及，還也許波及金融等安全

敏感領域。因此，我們在設計時有必要對公開服務器（web、dns、

email等）和外網及內部其他業務網絡進行必要的隔離，防止網絡構

造信息外漏;同步還要對外網的服務清查加以過濾，只容許正常通信

的數據包抵達對應主機，其他的服務在抵達主機之前都應當遭到拒

絕。系統的安全分析

所雎系統的安全是指整個網絡操作系統和網絡硬件平臺與否可靠且

值得信任。目前恐怕沒有絕對安全的操作系統可以選擇，無論是

microsfot的windowsnt或者其他任何商用unix操作系統，其開

發廠商必然有其back-door。因此，我們可以得出如下結論：沒有

完全安全的操作系統。不一樣的顧客應從不一樣的方面對其網絡作

詳細的分析，選擇安全性能也許高的操作系統。因此不僅要選用可

靠的操作綣統和硬件平臺，并對操作系統進行安全配置。并且，必

須加強登錄過程的認證（尤其是在抵達服務器主機之前的認證），保證

顧客的合法性;另一方面應當嚴格限制登錄者的操作權限，完畢的操

作限制在最佳的范圍內。應用系統的安全分析

應用系統的安全跟詳細的應用有關，它波及面廣。應用系統的安全

是動態的、不停變化的。應用的安全性也波及到信息的安全性，它

包括諸多方面。應用系統的安全是動態的、不停變化的。

信息的安全性波及到機密信息泄漏、未經授權的訪問、破壞信息完

整性、假冒、破壞系統的可用性等。在某些網絡系統中，波及到諸

多機密信息，假如某些重要信息遭到竊取或破壞，它的經濟、社會

影響和政治影響都是很嚴重的。因此，對顧客使用計算機必須進行

身份認證，對于重要信息的通訊必須授權，傳播必須加密。采用多

塞次的訪問控制與權限控制手段，實現對數據的安全保護;采用加密

技術，保證網上傳播的信息（包括管理員口令與帳戶、上傳信息等）的

機密性與完整性。管理的安全風險分析

管理是網絡中安全最最重要的部分。責權不明，安全管理制度不健

全及缺乏可操作性等都也許引起管理安全的風險。當網絡出現襲擊

行為或網絡受到其他某些安全威脅時（如內部人員的違規操作等），無

法進行實時的檢測、監控、匯報與預警。同步，當事故發生后，也

無法提供黑客襲擊行為的追蹤線索及破案根據，即缺乏對網絡的可

控性與可審查性。這就規定我們必須對站點的訪問活動進行多嘉次

的記錄，及時發現非法入侵行為。

建立全新網絡安全機制，必須深刻理解網絡并能提供直接的處理方

案，因此，最可行的做法是制定健全的管理制度和嚴格管理相結

合。保障網絡的安全運行，使其成為一種具有良好的安全性、可擴

充性和易管理性的信息網絡便成為了首要任務。一旦上述的安全隱

患成為事實，所導致的對整個網絡的損失都是難以估計的。因此，

網絡的安全建設是校園網建設過程中重要的一環。

五、網絡安全措施安全技術手段物理措施：例如，保護網絡關鍵設

備（如互換機、大型計算機等），制定嚴格的網絡安全規章制度，采用

防輻射、防火以及安裝不間斷電源（ups）等措施。

訪問控制：對顧客訪問網絡資源的權限進行嚴格的認證和控制。例

如，進行顧客身份認證，對口令加密、更新和鑒別，設置顧客訪問

目錄和文獻的權限，控制網絡設備配置的權限，等等。

數據加密：加密是保護數據安全的重要手段。加密的作用是保障信

息被人截獲后不能讀懂其含義。防止計算機網絡病毒，安裝網絡防

病毒系統。

網絡隔離：網絡隔離有兩種方式，一種是采用隔離卡來實現的，一

種是采用網絡安全隔離網閘實現的。

隔離卡重要用于對單臺機器的隔離，網閘重要用于對于整個網絡的

隔離。

其他措施：其他措施包括信息過濾、容錯、數據鏡像、數據備份和

審計等。近年來，圍繞網絡安全問題提出了許多處理措施，例如數

據加密技術和防火墻技術等。數據加密是對網絡中傳播的數據進行

加密，抵達目的地后再解密還原為原始數據，目的是防止非法顧客

截獲后盜用信息。防火墻技術是通過對網絡的隔離和限制訪問等措

施來控制網絡的訪問權限。安全防備意識

擁有網絡安全意識是保證網絡安全的重要前提。許多網絡安全事件

的發生都和缺乏安全防備意識有關。

六、網絡安全案例概況。伴隨計算機技術的飛速發展，信息網絡已

經成為社會發展的重要保證。有諸多是敏感信息，甚至是國家機

密。因此難免會吸引來自世界各地的多種人為襲擊（例如信息漏洞、

信息竊取、數據篡改、數據刪添、計算機病毒等）。同步，網絡實體

還要經受諸如渴災、火災、地震、電磁輻射等方面的考驗。

計算機犯罪案件也急劇上升，計算機犯罪已經成為普遍的國際性問

題。據美國聯邦調查局的匯報，計算機犯罪是商業犯罪中最大的犯

罪類型之一，每筆犯罪的平均金額為45000美元，每年計算機犯罪

導致的經濟損失高達50億美元。國外

1996年初，據美國舊金山的計算機安全協會與聯邦調查局的一次聯

合調查記錄，有53%的企業受到過計算機病毒的侵害，42%的企業

的計算機系統在過去的12個月被非法使用過。而五角大樓的一種研

究小組稱美國一年中遭受的襲擊多達25萬次之多。

1996年8月17日，美國司法部的網絡服務器遭到黑客入侵，并對

美國司法部的主頁改為美國不公正部，把司法部部長的照片換成了

阿道夫？希特勒，對司法部徽章換成了納紋黨徽，并加上一幅色情女

郎的圖片作為司法部部長的助手。此外還留下了諸多襲擊美國司法

政策的文字。

1996年9月18日，黑客又光顧美國中央情報局的網絡服務器，把

其主頁由中央情報局改為中央愚蠢局。

1996年12月29日，黑客侵入美國空軍的全球網網址并把其主頁肆

意改動，其中有關空軍簡介、新聞公布等內容被替代成一段簡短的

黃色錄像，且聲稱美國政府所說的一切都是謊言。迫使美國國防部

一度關閉了其他80多種軍方網址。國內

1996年2月，剛開通很快的chinanet受到襲擊，且襲擊得逞。

1997年初，北京某isp被黑客成功侵入，并在清華大學渴木清華

bbs站的黑客與解密討論區張貼有關怎樣免費通過該isp進入

internet的文章。

1997年4月23日，美國德克薩斯州內查德遜地區西南貝帔互聯網

絡企業的某個ppp顧客侵入中國互聯網絡信息中心的服務器，破譯

該系統的shutdown帳戶，把中國互聯網信息中心的主頁換成了一

種笑嘻嘻的骷髏頭。

1996年初chinanet受到某高校的一種碩士的襲擊;96年秋，北京某

isp和它的顧客發生了某些矛盾，此顧客便襲擊該isp的服務器，致

使服務中斷了數小時。

,google公布公告稱講考慮退出中國市場，而公告中稱：導致此決

定的重要原因是由于google被黑客襲擊。

七.網絡安全類型

運行系統安全，即保證信息處理和傳播系統的安全。它側重于保證

系統正常運行，防止由于系統的瓦解和損壞而對系統存貯、處理和

傳播的信息導致破壞和損失，防止由于電磁泄漏，產生信息泄漏，

干擾他人，受他人干擾。

網絡上系統信息的安全。包括顧客口令鑒別，顧客存取權限控制，

數據存取權限、方式控制，安全審計，安全問題跟蹤，計算機病毒

防漏，數據加密。

網絡上信息傳播安全，即信息傳播后果的安全。包括信息過濾等。

它側重于防止和控制非法、有害的信息進行傳播后的后果。防止公

用網絡上大量自由傳播的信息失控。

網絡上信息內容的安全。它側重于保護信息的保密性、真實性和完

整性。防止襲擊者運用系統的安全漏洞進行竊聽、冒充、詐騙等有

損于合法顧客的行為。本質上是保護顧客的利益和隱私。

八.網絡安全特性

網絡安全應具有如下四個方面的特性：

保密性：信息不泄漏給非授權顧客、實體或過程，或供其運用的特

性。

完整性：數據未經授權不能進行變化的特性。即信息在存儲或傳播

過程中保持不被修改、不被破壞和丟失的特性。

可用性：可被授權實體訪問并按需要使用的特性。即當需要時能否

存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關系統

的正常運行等都屬于對可用性的襲擊；

可控性：對信息的傳播及內容具有控制能力。

九.威脅網絡安全原因

自然災害、意外事故;計算機犯罪；人為行為，例如使用不妥，安全意

識差等;黑客行為：由于黑客的入侵或侵擾，例如非法訪問、拒絕服

務計算機病毒、非法連接等;內部泄密;外部泄密;信息丟失;例如信息

流量分析、信息竊取等;信息戰;網絡協議中的缺陷，例如tcp/ip協

議的安全問題等等。

網絡安全威脅重要包括兩種：滲透威脅和植入威脅

滲透威脅重要有：假冒、旁路控制、授權侵犯；

植入威脅重要有：特洛伊木馬、陷門。

陷門：把某一特性設置于某個系統或系統部件之中，使得在提供特

定的輸入數據時，容許安全方略被違反。

十、網絡安全的構造幕次

1、物理安全

自然災害（如雷電、地震、火災等），物理損壞（如硬盤損壞、設備使

用壽命到期等），設備故障（如停電、電磁干擾等），意外事故。處理

方案是：防護措施，安全制度，數據備份等。

電磁泄漏，信息泄漏，干擾他人，受他人干擾，乘機而入（如進入安

全進程后中途離開），痕跡泄漏（如口令密鑰等保管不善）。處理方案

是：輻射防護，隱藏銷毀等。

操作失誤（如刪除文獻，格式化硬盤，線路拆除等），意外疏漏。處理

方案是：狀態檢測，報警確認，應急恢復等。

計算機系統機房環境的安全。特點是：可控性強，損失也大。

處理方案：加強機房管理，運行管理，安全組織和人事管理。

2、安全控制

微機操作系統的安全控制。如顧客開機鍵入的口令(某些微機主板有

萬能口令),對文獻的讀寫存取的控制(如unix系統的文獻控制機

制)。重要用于保護存貯在硬盤上的信息和數據。

網絡接口模塊的安全控制。在網絡環境下對來自其他機器的網絡通

信進程進行安全控制。重要包括：身份認證，客戶權限設置與鑒

別，審計日志等。

網絡互聯設備的安全控制。對整個子網內的所有主機的傳播信息和

運行狀態進行安全監測和控制。重要通過網管軟件或路由器配置實

現。

H^一、網絡加密方式

鏈路加密方式

節點對節點加密方式

端對端加密方式

十二、tcp/ip協議的安全問題

tcp/ip協議數據流采用明文傳播。

源地址欺騙(sourceaddressspoofing)或ip欺騙(ipspoofing)。

源路由選擇欺騙(sourceroutingspoofing)o

路由選擇信息協議襲擊(ripattacks)o

鑒另U襲擊(authenticationattacks)o

tcp序歹!］號欺騙(tcpsequencenumberspoofing)。

tcp序列號轟炸襲擊(tcpsynfloodingattack)9簡稱syn襲擊。

易欺騙性(easeofspoofing)。

十三、網絡安全工具

掃描器：是自動檢測遠程或當地主機安全性弱點的程序，一種好的

掃描器相稱于一千個口令的價值。

怎樣工作：tcp端口掃描器，選擇tcp/ip端口和服務(例如ftp),并

記錄目的的回答，可搜集有關目的主機的有用信息(與否可匿名登

錄，與否提供某種服務)。掃描器告訴我們什么：能發現目的主機的

內在弱點，這些弱點也許是破壞目的主機的關鍵原因。系統管理員

使用掃描器，有助于加強系統的安全性。黑客使用它，對網絡的安

全不利。

目前流行的掃描器：1、nss網絡安全掃描器，2、stroke超級優化

tcp端口檢測程序，可記錄指定機器的所有開放端口。3、satan安

全管理員的網絡分析工具。4、jakaL5、xscano

一般比較流行的網絡安全硬件尚有：入侵防御設備(ips),入侵監測

設備(ids),一體化安全網關(utm),較早的安全硬件尚有硬件防火

墻，但該伴隨utm的出現，已經慢慢被替代。

十四、黑客常用的信息搜集工具

信息搜集是突破網絡系統的第一步。黑客可以使用下面幾種工具來

搜集所需信息：

1、snmp協議

snmp協議，用來查閱非安全路由器的路由表，從而理解目的機構網

絡拓撲的內部細節。

簡樸網絡管理協議(simplenetworkmanagementprotocolsnmp)

首先是由internet工程任務組織(internetengineeringtask

force)(ietf)的研究幃組為了處理internet上的路由器管理問題而提

出的。snmp被設計成與協議無關，因此它可以在ip,ipx,

appletalk,osi以及其他用到的傳播協議上被使用。

2、traceroute程序

traceroute程序，得出抵達目的主機所通過的網絡數和路由器數。

traceroute程序是同vanjacobson編寫的能深入探索tcp\ip協議

的以便可用的工具。它能讓我們看到數據報從一臺主機傳到另一臺

主機所通過的路由。traceroute程序還可以上我們使用ip源路由選

項，讓源主機指定發送路由。

3、whois協議

whois協議，它是一種信息服務，可以提供有關所有dns域和負責

各個域的系統管理員數據。（不過這些數據常常是過時的）。whois協

議。其基本內容是，先向服務器的tcp端口43建立一種連接，發送

查詢關鍵字并加上回車換行，然后接受服務器的查詢成果。

4、dns服務器

dns月艮務器是domainnamesystem或者domainname

service（域名系統或者域名服務）。域名系統為internet上的主機分

派域名地址和ip地址。顧客使用域名地址，該系統就會自動把域名

地址轉為ip地址。域名服務是運行域名系統的internet工具。執行

域名服務的服務器稱之為dns服務器，通過dns服務器來應答域名

服務的查詢。

5、finger協議

finger協議，可以提供特定主機上顧客們的詳細信息（注冊名、電話

號碼、最終一次注冊的時間等）。

6、ping實用程序

ping實用程序，可以用來確定一種指定的主機的位置并確定其與否

可達。把這個簡樸的工具用在掃描程序中，可以ping網絡上每個也

許的主機地址，從而可以構造出實際駐留在網絡上的主機清單。它

是用來檢查網絡與否暢通或者網絡連接速度的命令。作為一種生活

在網絡上的管理員或者黑客來說，ping命令是第一種必須掌握的

dos命令，它所運用的原理是這樣的：網絡上的機器均有唯一確定

的ip地址，我們給目的ip地址發送一種數據包，對方就要返回一種

同樣大量的數據包，根據返回的數據包我們可以確定目的主機的存

在，可以初步判斷目的主機的操作系統等，當然，它也可用來測定

連接速度和丟包率。

使用措施（xp系統下）

開始?運行?cmd?確定?輸入ping?回車為你需要的

ipo

部分防火墻會對ping嚴禁，故也許會提醒timedout（超時）等狀況

判斷操作系統，則是看返回的ttl值。

十五、internet防火墻

internet防火墻是這樣的系統（或一組系統），它能增強機構內部網絡

的安全性。

防火墻系統決定了哪些內部服務可以被外界訪問;外界的哪些人可以

訪問內部的哪些服務，以及哪些外部服務可以被內部人員訪問。要

使一種防火墻有效，所有來自和去往internet的信息都必須通過防

火墻，接受防火墻的檢查。防火墻只容許授權的數據通過，并且防

火墻自身也必須可以免于滲透。

1、internet防火墻與安全方略的關系

防火墻不僅僅是路由器、堡壘主機、或任何提供網絡安全的設備的

組合，防火墻是安全方略的一種部分。

安全方略建立全方位的防御體系，甚至包括：告訴顧客應有的責

任，企業規定的網絡訪問、服務訪問、當地和遠地的顧客認證、撥

入和撥出、磁盤和數據加密、病毒防護措施，以及雇員培訓等。所

有也許受到襲擊的地方都必須以同樣安全級別加以保護。

3、internet防火墻的作用

internet防火墻容許網絡管理員定義一種中心扼制點來防止非法顧

客，例如防止黑客、網絡破壞者等進入內部網絡。嚴禁存在安全脆

弱性的服務進出網絡，并抗擊來自多種路線的襲擊。internet防火墻

可以簡化安全管理，網絡的安全性是在防火墻系統上得到加固，而

不是分布在內部網絡的所有主機上。

在防火墻上可以很以便的監視網絡的安全性，并產生報警。（注意：

對一種與internet相聯的內部網絡來說，重要的問題并不是網絡與

否會受到襲擊，而是何時受到襲擊？）網絡管理員必須審計并記錄所有

通過防火墻的重要信息。假如網絡管理員不能及時響應報警并審查

常規記錄，防火墻就形同虛設。在這種狀況下，網絡管理員永遠不

會懂得防火墻與否受到襲擊。

internet防火墻可以作為布署nat（networkaddresstranslator,網

絡地址變換）的邏輯地址。因此防火墻可以用來緩和地址空間短缺的

問題，并消除機構在變換isp時帶來的重新編址的麻煩。

internet防火墻是審計和記錄internet使用量的一種最佳地方。網

絡管理員可以在此向管理部門提供internet連接的費用狀況，查出

潛在的帶寬瓶頸的位置，并根據機構的核算模式提供部門計費。

十六、internet安全隱患的重要體現internet是一種開放的、無控

制機構的網絡，黑客（hacker）常常會侵入網絡中的計算機系統，或竊

取機密數據和盜用特權，或破壞重要數據，或使系統功能得不到充

足發揮直至癱瘓。internet的數據傳播是基于tcp/ip通信協議進行

的，這些協議缺乏使傳播過程中的信息不被竊取的安全措施。

internet上的通信業務多數使用unix操作系統來支持，unix操作系

統中明顯存在的安全脆弱性問題會直接影響安全服務。在計算機上

存儲、傳播和處理的電子信息，還會有像老式的郵件通信那樣進行

信幣保護和簽字蓋章。信息的來源和去向與否真實，內容與否被改

動，以及與否泄漏等，在應用支持的服務協議中是憑著君子協定來

維系的。電子郵件存在著被拆看、誤投和偽造的也許性。使用電子

郵件來傳播重要機密信息會存在著很大的危險。計算機病毒通過

internet的傳播給上網顧客帶來極大的危害，病毒可以使計算機和計

算機網絡系統癱瘓、數據和文獻丟失。在網絡上傳播病毒可以通過

公共匿名ftp文獻傳送、也可以通過郵件和郵件的附加文獻傳播。

十七、絡安全襲擊的形式重要有四種方式：中斷、截獲、修改和偽

造。

一、中斷是以可用性作為襲擊目的，它毀壞系統資源，使網絡不可

用。

截獲是以保密性作為襲擊目的，非授權顧客通過某種手段獲得對系

統資源的訪問。修改是以完整性作為襲擊目的，非授權顧客不僅獲

得訪問并且對數據進行修改。偽造是以完整性作為襲擊目的，非授

權顧客偽造的數據插入到正常傳播的數據中。網絡安全的處理方案

一、入侵檢測系統布署入侵檢測能力是衡量一種防御體系與否完整

有效的重要原因，強大完整的入侵檢測體系可以彌補防火墻相對靜

態防御的局限性。對來自外部網和校園網內部的多種行為進行實時

檢測，及時發現多種也許的襲擊企圖，并采用對應的措施。詳細來

講，就是對入侵檢測引擎接入中心互換機上。入侵檢測系統集入侵

檢測、網絡管理和網絡監視功能于一身，能實時捕捉內外網之間傳

播的所有數據，運用內置的襲擊特性庫，使用模式匹配和智能分析

的措施，檢測網絡上發生的入侵行為和異常現象，并在數據庫中記

錄有關事件，作為網絡管理員事后分析的根據;假如狀況嚴重，系統

可以發出實時報警，使得學校管理員可以及時采用應對措施。

二、漏洞掃描系統

采用目前最先進的漏洞掃描系統定期對工作站、服務器、互換機等

進行安全檢查，并根據檢查成果向系統管理員提供詳細可靠的安全

性分析匯報，為提高網絡安全整體產生重要根據。

三、網絡版殺毒產品布署

在該網絡防病毒方案中，我們最終要到達一種目的就是：要在整個

區域網內杜絕病毒的感染、傳播和發作，為了實現這一點，我們應

當在整個網絡內也許感染和傳播病毒的地方采用對應的防病毒手

段。同步為了有效、快捷地實行和管理整個網絡的防病毒體系，應

能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多

種功能。

十八、網絡安全設備

在網絡設備和網絡應用市場蓬勃發幕的帶動下，近年來網絡安全市

場迎來了高速發展期，首先伴隨網絡的延伸，網絡規模迅速擴大，

安全問題變得日益復雜，建設可管、可控、可信的網絡也是深入推

進網絡應用發展的前提;另首先伴隨網絡所承載的業務日益復雜，保

證應用的安全是網絡安全發展的新的方向。

伴隨的迅速發展，本來網絡威脅單點疊加式的防護手段已經難以有

效抵御日趨嚴重的混合型安全威脅。構建一種多部安全、全面安

全、智能安全的整體安全體系，為顧客提供多塞次、全方位的立體

防護體系成為信息安全建設的新理念。在此理念下，網絡安全產品

帆發生了一系列的變革。

結合實際應用需要，在新的網絡安全理念的指導下，網絡安全處理

方案正向著如下幾種方向來發展：

積極防御走向市場。積極防御的理念已經發展了某些年，不過從理

論走向應用一直存在著多種阻礙。積極防御重要是通過度析并掃描

指定程序或線程的行為，根據預先設定的規則，鑒定與否屬于危險

程序或病毒，從而進行防御或者清除操作。不過，從積極防御理念

向產品發展的最重要原因就是智能化問題。由于計算機是在一系列

的規則下產生的，怎樣發現、判斷、檢測威脅并積極防御，成為積

極防御理念走向市場的最大阻礙。

由于積極防御可以提高安全方略的執行效率，對企業推進網絡安全

建設起到了積極作用，因此監管其產品還不完善，不過伴隨未來幾

年技術的進步，以程序自動監控、程序自動分析、程序自動診斷為

重要功能的積極防御型產品類與老式網絡安全設備相結合。是伴隨

技術的發展，高效精確的對病毒、蠕蟲、木馬等惡意襲擊行為的積

極防御產品就逐漸發展成熟并推向市場，積極防御技術走向市場就

成為一種必然的趨勢。

安全技術融合備受重視。伴隨網絡技術的日新月異，網絡普及率的

迅速提高，網絡所面臨的潛在威脅也越來越大，單一的防護產品早

已不能滿足市場的需要。發展網絡安全整體處理方案已經成為必然

趨勢，顧客對務實有效的安全整體處理方案需求倍加迫切。安全整

體處理方案需要產品愈加集成化、智能化、便于集中管理。未來幾

年開發網絡安全整體處理方案就成為重要廠商差異化競爭的重要手

段。

軟硬結合，管理方略走入安全整體處理方案。面對規模越來越龐大

和復雜的網絡，僅依托老式的網絡安全設備來保證網絡的安全和暢

通已經不能滿足網絡的可管、可控規定，因此以終端準入處理方案

為代表的網絡管理軟件開始融合進整體的安全處理方案。終端準入

處理方案通過控制顧客終端安全接入網絡入手，對接入顧客終端強

制實行顧客安全方略，嚴格控制終端網絡使用行為，為網絡安全提

供了有效保障，協助顧客實現愈加積極的安全防護，實現高效、便

捷地網絡管理目的，全面推進網絡整體安全體系建設的進程。

十九、電子商務網絡安全問題

電子商務安全從整體上可分為兩大部分：計算機網絡安全和商務交

易安全

(一)計算機網絡安全的內容包括：

(1)未進行操作系統有關安全配置

不管采用什么操作系統，在缺省安裝的條件下都會存在某些安全問

題，只有專門針對操作系統安全性進行有關的和嚴格的安全配置，

才能到達一定的安全程度。千萬不要認為操作系統缺省安裝后，再

配上很強的密碼系統就算作安全了。網絡軟件的漏洞和后門是進行

網絡襲擊的首選目的。

(2)未進行cgi程序代碼審計

假如是通用的cgi問題，防備起來還稍微輕易某些，不過對于網站或

軟件供應商專門開發的某些cgi程序，諸多存在嚴重的cgi問題，對

于電子商務站點來說，會出現惡意襲擊者冒用他人賬號進行網上購

物等嚴重后果。

(3)拒絕服務(dos,denialofservice)襲擊

伴隨電子商務的興起，對網站的實時性規定越來越高，dos或ddos

對網站的威脅越來越大。以網絡癱瘓為目的的襲擊效果比任何老式

的恐怖主義和戰爭方式都來得更強烈，破壞性更大，導致危害的速

度更快，范圍也更廣，而襲擊者自身的風險卻非常小，甚至可以在

襲擊開始前就已經消失得無影無蹤，使對方沒有實行報復打擊的也

許。今年2月美國雅虎、亞馬遜受襲擊事件就證明了這一點，

(4)安全產品使用不妥

雖然不少網站采用了某些網絡安全設備，但由于安全產品自身的問

題或使用問題，這些產品并沒有起到應有的作用。諸多安全廠商的

產品對配置人員的技術背景規定很高，超過對一般網管人員的技術

規定，就算是廠家在最初給顧客做了對的的安裝、配置，但一旦系

統改動，需要改動有關安全產品的設置時，很輕易產生許多安全問

題。

(5)缺乏嚴格的網絡安全管理制度

網絡安全最重要的還是要思想上高度重視，網站或區域網內部的安全需要用完備的安全制度來保障。建

立和實行嚴密的計算機網絡安全制度與方略是真正實現網絡安全的基礎。

【篇二：網絡安全知識點】

每日暢游在網絡世界中的你，可曾碰到過計算機莫名中毒、文檔意

外丟失、黑客異常襲擊、網絡行騙詐騙、個人信息泄露等風險和危

害？一起來看看這些你不得不懂得的網絡安全小知識吧！

怎樣防備病毒或木馬的襲擊？

1?為計算機安裝殺毒軟件，定期掃描系統、查殺病毒；

2.及時更新病毒庫、更新系統補丁；

3.下載軟件時盡量到官方網站或大型軟件下載網站，在安裝或打開

來歷不明的軟件或文獻前先殺毒；

4.不隨意打開不明網頁鏈接，尤其是不良網站的鏈接，陌生人通過

qq給自己傳鏈接時，盡量不要打開；

5.使用網絡通信工具時不隨便接受陌生人的文獻，若接受可取消“隱

藏已知文獻類型擴展名”功能來查看文獻類型；

6.對公共磁盤空間加強權限管理，定期查殺病毒；

7.打開移動存儲器前先用殺毒軟件進行檢查，可在移動存儲器中建

立名為autorun.inf的文獻夾（可防u盤病毒啟動）；

8.需要從互聯網等公共網絡上下載資料轉入內網計算機時