摘要 1
第1章  绪论 2
1.1 网络安全的基本概念 2
1.2 计算机网络面临的威胁 4
第2章 计算机网络安全与防范 5
2.1 计算机网络安全中存在的问题 5
2.2 计算机网络安全的防范措施 6
第3章 网络安全的技术与管理 8
3.1 网络安全技术 8
3.2 网络安全的技术产品 8
3.3 网络安全的管理 9
第4章 加强网络安全的常用防护技术 9
4.1 加密技术 9
4.2 防火墙 10
4.3 网络防病毒技术 11
第5章  计算机网络不安全因素分析 12
5.1 网络硬件方面的不安全因素 12
5.2 网络软件方面的不安全因素 13
5.3 工作人员方面的不安全因素 14
第6章 网络安全技术的应用 15
6.1 个人计算机网络安全 15
6.2 网络安全技术在商业领域中的研究及应用 17
第7章 防火墙技术在网络安全中的应用 18
7.1 防火墙的概念 18
7.2 防火墙的基本类型 19
7.3 防火墙的配置 20
7.4 防火墙的安全措施 20
7.5 防火墙的选择方案 21
结论 21

摘要
本文是从网络安全的定义出发，研究涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域，使计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害的课题。网络安全是一个系统的工程，不能仅仅依靠防火墙等单个的系统，而需要仔细考虑系统的安全需求，并将各种安全技术结合在一起，才能更有效地维护自己的计算机网络及信息的安全，生成一个高效、通用、安全的网络系统。
关键词： 计算机  网络安全  防范  防火墙

Abstract: The paper is based on the definition of network security, to protect computer network security computer network system and its resources and information resources from the harmful factors of natural and man-made threats and hazards, from the broad sense, with searching computer network of information confidentiality, integrity, availability, authenticity and control technologies and theories are all computer network security research field. Network security is a system works and can’t rely solely on a single firewall system, and the need to think carefully about the safety of the system demand, and combines a variety of security technologies in order to more effectively protect their computer network and information security, generate a high-performance, general, security of network system.
Keywords:  computer   network security   prevent   firewall

第1章  绪论
随着网络安全形势日益严峻，近年来网络安全问题已引起人们高度重视，但由于计算机网络具有联结形式多样性，终端分布不均匀性和网络的开放性、互联性等特征，致使网络易受黑客、恶意软件和其他不轨的攻击，特别是人们在观念上的误区，致使网络安全受到严重的威胁，下面就网络安全面临的威胁和网络安全存在的问题作分析，提出网络安全{zd0}的隐患来自内部，因此要解决网络安全问题!首先应该重在“防”，然后才是“治”!普及网络用户病毒防范意识，是减少网络安全隐患的{dy}环，也是极其关键的一环。 {zh1}有针对性的提出网络安全问题与对策?为网络安全工作探索一条新思路。
1.1 网络安全的基本概念
从本质上看，网络安全就是网络上的信息安全。从广义上来说，凡是涉及到网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全的研究领域。通俗地说，网络安全的主要目标是保护网络信息系统，使其没有危险，不受威胁，不出事故。在这里，我们用5个通俗的说法，来形象地描绘网络安全的目标：
 进不来
 看不懂
 改不了
 拿不走
 跑不掉
从技术角度来说，网络安全的目标可归纳为4个方面：
 可用性
 机密性
 完整性
 不可抵赖性
图1-1给出了这两种目标之间的对应关系。
 
图1-1  网络安全的目标关系
(1) 可用性
可用性指信息或者信息系统可被合法用户访问，并按其要求运行的特性。如图1-1所示，“进不来”、“改不了”和“拿不走”都实现了信息系统的可用性。
人们通常采用一些技术措施或网络安全设备来实现这些目标。例如：
 使用防火墙，把攻击者阻挡在网络外部，让他们“进不来”。
 即使攻击者进入了网络内部，由于有加密机制，会使他们“改不了”和“拿不走”关键信息和资源。
(2) 机密性
机密性将对敏感数据的访问权限制在那些经授权的个人，只有他们才能查看数据。机密性可防止向未经授权的个人泄露信息，或防止信息被加工。
如图1-1所示，“进不来”和“看不懂”都实现了信息系统的机密性。
 人们使用口令对进入系统的用户进行身份鉴别，非法用户没有口令就“进不来”，这就保证了信息系统的机密性。
 即使攻击者xx了口令，而进入系统，加密机制也会使得他们“看不懂”关键信息。
例如，甲给乙发送加密文件，只有乙通过解密才能读懂其内容，其他人看到的是乱码。由此便实现了信息的机密性。
(3) 完整性
完整性指防止数据未经授权或意外改动，包括数据插入、删除和修改等。为了确保数据的完整性，系统必须能够检测出未经授权的数据修改。其目标是使数据的接收方能够证实数据没有被改动过。
如图1-1所示，“改不了”和“拿不走”都实现了信息系统的完整性。使用加密机制，可以保证信息系统的完整性，攻击者无法对加密信息进行修改或者复制。
(4) 不可抵赖性
不可抵赖性也叫不可否认性，即防止个人否认先前已执行的动作，其目标是确保数据的接收方能够确信发送方的身份。例如，接受者不能否认收到消息，发送者也不能否认发送过消息。
如图1-1所示，“跑不掉”就实现了信息系统的不可抵赖性。如果攻击者进行了非法操作，系统管理员使用审计机制或签名机制也可让他们无处遁形。
信息安全的技术主要包括监控、扫描、检测、加密、认证、防攻击、防病毒以及审计等几个方面，其中加密技术是信息安全的核心技术，已经渗透到大部分安全产品之中，并正向芯片化方向发展。
目前，增强互联网安全的主要方法和途径也因此分为两大类：
(1) 以防火墙技术为代表的被动防卫型方案。被动型安全解决方案只能被动地保护企业内部网安全，并且对网络的拓扑结构有特殊要求。
(2) 以数据加密、用户授权认证为核心的主动开放型方案。以数据加密和用户认证为基础的主动开放型方案对网络结构不作任何要求，就能直接对原数据进行主动保护，实现端到端的安全。在主动开放型方案中，只有指定的用户或网络设备才能够解译加密数据，毫无疑问，加密技术是这类解决方案的核心。
1.2 计算机网络面临的威胁
计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有，归结起来，针对网络安全的威胁主要有三方面：
(1) 人为的无意失误
如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。
(2) 人为的恶意攻击
这是计算机网络所面临的{zd0}威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。
(3) 网络软件的漏洞和“后门”
网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的{sx}目标，曾经出现过的黑客攻入网络内部的事件，这些事
件的大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。
第2章 计算机网络安全与防范
2.1 计算机网络安全中存在的问题
随着网络时代的来临,人们在享受着网络带来的无尽的快乐的同时,也面临着越来越严重和复杂的网络安全威胁和难以规避的风险。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,从而引起大范围的瘫痪和损失,另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险正日益加重。常见的威胁主要来自以下几个方面。
(1) 自然威胁
自然威胁可能来自与各种自然灾害、恶劣的场地环境、电磁辐射和干扰、网络设备的自然老化等。这些无目的的事件有时也会直接或间接地威胁网络的安全,影响信息的存储和交换。
(2) 非授权访问
具有熟练编写和调试计算机程序的技巧并使用这些技巧来获得非法或未授法的网络或文件访问, 侵入到他方内部网的行为。网络入侵的目的主要是取得使用系统的存储权限、写权限以及访问其他存储内容的权限或者是作为进一步进入其他系统的跳板，或者恶意破坏这个系统,使其毁坏而丧失服务能力。
(3) 后门和木马程序　
从最早计算机被入侵开始，黑客们就已经发展了“后门”这门技术，利用这门技术，他们可以再次进入系统。后门的功能主要有:使管理员无法阻止种植者再次进入系统；使种植者在系统中不易被发现；使种植者进入系统花费最少时间。木马，又称为特洛伊木马，是一类特殊的后门程序，其名称取自希腊神话的——特洛伊木马记。它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。木马里一般有两个程序：一个是服务器程序，一个是控制器程序。如果一台电脑被安装了木马服务器程序，那么黑客就可以使用木马控制器程序进入这台电脑，通过命令服务器程序达到控制你的电脑的目的。
(4) 计算机病毒
计算机病毒指编制或在计算机程序中插入的破坏计算机功能和数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。如常见的蠕虫病毒, 就是以计算机为载体，利用操作系统和应用程序的漏洞主动进行攻击，是一种通过网络传统的恶性病毒。它具有病毒的一些共性，如传播性、隐蔽性、破坏性和潜伏性等等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务以及和黑客技术相结合等。其他常见的破坏性比较强的病毒有宏病毒、意大利香肠等。
2.2 计算机网络安全的防范措施
(1) 加强网络的完整性
网络是信息系统里连接主机、用户机及其他电脑设备的基础。从管理的角度看，网络可以分为内部网与外部网。网络的安全涉及到内部网的安全保证以及两者之间连接的安全保证。目前，使用比较广泛的网络安全技术包括防火墙、网络管理和通信安全技术。
(2) 防火墙和病毒防范
防火墙是内部网与外部网之间的“门户”，对两者之间的交流进行全面管理，以保障内部和外部之间安全、通畅的信息交换。防火墙采用包过滤、电路网关、应用网关、网络地址转化、病毒防火墙、邮件过滤等技术，使得外部网无法知晓内部网的情况，对用户使用网络有严格的控制和详细的记录。病毒防范不仅针对单个的电脑系统，也要增加了对网络病毒的防范。在文件服务器应用服务器和网络防火墙上增加防范病毒的软件,把防毒的范围扩大到网络里的每个系统。
(3) 网络管理技术和通信安全技术
运用网络管理技术可以对内部网络进行全面监控。具有展示拓扑图、管理流量、故障报警等功能。网络管理系统对整个网络状况进行智能化的检测，以提高网络的可用性和可靠性，从而在整体上提高网络运行的效率，降低管理成本。通信安全技术为网络间通信提供了安全的保障，加强了通信协议上的管理。在具体应用上，通信安全技术表现在对电子邮件的加密、建立安全性较高的电子商务站点、建设可靠性高的虚拟网等。
(4) 访问控制
利用策略在用户、职能、对象、应用条件之间建立统一而完善的管理。实现“什么人，在什么条件下，对什么对象，有什么工作职能权限”的管理目标。使用访问控制列表服务，对用户的访问权限进行管理。用户授权常常与账号安全中的用户认证技术集成在一起。在对用户作认证之后，根据访问控制列表给用户授权。认证和授权的紧密结合，为信息系统的用户访问安全提供了一个完善保障。远程登录访问服务用户管理的国际标准R A - D I U S协议便规定了认证、授权、记账服务的具体实施方法是广为使用的用户认证和授权的标准。数据的保密是许多安全措施的基本保证。加密后的数据能保证在传输、使用和转换时不被第三方获启。在信息时代，网络的安全是关系信息系统正常使用的关键。建立全面实用的安全体系需要从各个层次着手，针对自身的安全需求,采取相应的安全措施。
(5) 加强系统的完整性
系统的安全管理围绕着系统硬件、系统软件及系统上运行的数据库和应用软件来采取相应的安全措施。系统的安全措施将首先为操作系统提供防范性好的安全保护伞，并为数据库和应用软件提供整体性的安全保护。在系统这一层，具体的安全技术包括病毒防范、风险评估、非法侵入的检测及整体性的安全审计。
(6) 风险评估
它检查出系统的安全漏洞,同时还对系统资源的使用状况进行分析，以提示出系统最需解决的问题。在系统配置和应用不断改变的情况下，系统管理员需要定期地对系统、数据库和系统应用进行安全评估，及时采取必要的安全措施，对系统实施有效地安全防范。
(7) 加强用户账号的完整性
用户账号无疑是计算机网络里{zd0}的安全弱点。获取合法的账号和密码是黑客攻击网络系统最常用的方法。用户账号的涉及面很广，包括网络登录账号、系统登录账号、数据库登录账号、应用登录账号、电子邮件账号、电子签名、电子身份等。因此，用户账号的安全措施不仅包括技术层面上的安全支持，还需在信息管理的政策方面有相应的措施。只有双管齐下，才能真正有效地保障用户账号的保密性。从安全技术方面，针对用户账号完整性的技术包括用户分组的管理、
惟一身份和用户认证。
(8) 用户认证
它对用户登录方法进行限制。这就使检测用户惟一性的方法不仅局限于用户名和密码，还可以包括用户拨号连接的电话号码、用户使用的终端、用户使用的时间等。在用户认证时,使用多种密码，更加加强了用户惟一性的确认程度。
(9) 及时安装补丁程序
安全特性越高级,复杂性也就越高,而且各种操作系统往往绑定了许多已经启动的服务。如果说这些都不是很严重的问题的话，那么我们还要面对另外一种危险,即有漏洞的程序所带来的威胁。一般来说有两种主要的系统漏洞：{dy}种称为基本漏洞。这种漏洞隐匿于操作系统的安全结构中，这是某个有安全隐患的程序固有的漏洞。一旦检测到这种漏洞,黑客可以以未授权方式访问系统及其数据； 还有一种所谓的二级系统漏洞。二级漏洞是指出现在程序中的某个漏洞，虽然与安全问题毫无关联，但它却导致系统中别的地方产生了安全隐患。如果这种程序遭受了攻击，黑客可以通过它们获得某些文件和服务特殊的访问权限。不管是基本漏洞还是二级漏洞，当某些日常的程序中有系统漏洞时，它们就会对Internet 通信造成极大的安全隐患。为了暂时纠正这些漏洞，软件厂商发布补丁程序。那些能够对其网络工具、漏洞及补丁程序做及时更新的用户往往准备比较充分，而没有这种经验的用户往往受到伤害。因此，及时安装补丁程序，可有效解决漏洞程序所带来的问题。
总之，计算机网络的迅速发展和广泛应用开创了计算机应用的崭新局面。信息的交互和共享，已经突破了国界涉及到整个世界。在这种互连性和开放性给社会带来极大效益的同时，计算机罪犯也得到了更多的机会。犯罪的手段不断翻新，由简单的闯入系统发展到制造复杂的计算机病毒。因此，我们必须加强计算机的安全防护，防范于未来。只有这样,我们才能在网上冲浪的同时享受Intemet信息时代带来的无限快乐。
第3章 网络安全的技术与管理
3.1 网络安全技术
网络世界的敌人有以下几类。首先是网络病毒，通过互联网，网络病毒迅速蔓延，并且大量地消耗网络资源，感染网络上的计算机并造成网络应用的大面积瘫痪。其次是网络攻击，黑客对网络上的主机或网络设备进行攻击，使其消耗大量的系统资源，因而无法为正常的网络应用提供服务，甚至可能造成设备的彻底瘫痪。同时，网络入侵和网络欺诈也是安全世界里频发的问题。网络黑客通过散布木马程序、搜索系统漏洞等方法进入非授权的敏感系统，特别是金融、政治、军事等机构的敏感系统，窃取机密信息，甚至摧毁系统的重要数据。或者通过某些技术手段，伪装成合法的用户或服务提供商，来骗取交易另一方的信任，骗取金钱或机密信息。
种种不安全因素也意味着广阔的市场和无限的商机。赛迪顾问的报告显示，中国网络安全市场在过去一年里规模增长稳定，防火墙作为网络安全的一个细分产品表现一枝独秀，其市场增长率在三大类主要安全产品中居于xx。同时，整合式安全网关已经呈现“替代中低端防火墙产品，成为业界主流”的趋势。多家主流厂商已经根据市场需求推出了自己的安全网关产品。网络安全市场表现出用户厌倦被动升级，厂商推出主动防御的现象。目前主动防御技术主要是针对未知病毒提出来的病毒防杀技术，而其主要实现方式则是通过病毒的行为特征来判别其是否为病毒，而不再像传统那样依赖病毒代码的发现。
3.2 网络安全的技术产品
从去年的市场表现来看，防火墙再度成为出色的网络安全细分产品，市场增长率在三大类主要安全产品中居于xx。包括国内外厂商在内的各个主要防火墙厂商在延伸和拓宽自己产品线的同时，着力提高自己的安全整体解决方案提供能力、安全服务能力和安全咨询能力，以期能够帮助更多的用户更好地构建坚实的信息安全体系。
3.3 网络安全的管理
网络安全的问题不仅仅是技术问题，还有网络的管理问题，包括对网络犯罪的治理和执法。不可否认的是，当今的网络安全与往日相比，已经有了很大程度的提高，但“道高一尺，魔高一丈”，网络犯罪的技术也在“不断升级”，这也加大了网络治理的难度。截至目前，各国的网络管理立法工作几乎都处于起始阶段，使得许多问题的网上执法至今无法可依。
维护全球网络安全是一项牵涉到政府、企业、个人和国际合作的复杂工程，需要各方面的共同努力。其中，各国政府负有对网络使用环境加以保护和管理的不可推卸的责任，提供网络服务的各企业有健全和强化网络安全措施的责任，个人使用者有自觉接受规范约束和保护网络的责任，而相关国际组织有组织国际协商和建立全球网络规则并加以实施的责任。只有各方都能尽责，全球网络安全的改善才有可能。
安全问题层出不穷，迫使人们积极寻求解决方案。信息安全服务在西方发达国家起步较早。1989年，美国成立了{dy}个信息安全应急组织。中国也在2005年成立了国家计算机网络应急技术处理协调中心。各国为了加强网络安全使出浑身解数，甚至调动卫星等资源，专门组建信息战xx等。现实中为保障人员安全、企业安全或者国家安全，还可以进行“物理隔离”，但是在虚拟世界，是没有{jd1}的安全的。只能靠法律的健全、人们道德的完善、国际合作等方式来尽量减少网络犯罪。
第4章 加强网络安全的常用防护技术
4.1 加密技术
加密技术是网络安全的核心， 现代密码技术发展至今二十余年， 其技术已由传统的只注重保密性转移到保密性、真实性、完整性和可控性的xx结合。加密技术是解决网络上信息传输安全的主要方法，其核心是加密算法的设计。加密算法按照密钥的类型, 可分为非对称密钥加密算法和对称密钥加密算法。
(1) 非对称密钥加密
1976 年，美国学者Dime和Henman为解决信息公开传送和密钥管理问题，提出一种新的密钥交换协议，允许在不安全的媒体上的通讯双方交换信息，安全地达成一致的密钥，这就是“公开密钥系统”。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥和私有密。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密， 那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。
(2) 对称加密技术
对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥，这种方法在密码学中叫做对称加密算法， 对称加密算法使用起来简单快捷，密钥较短，且破译困难，除了数据加密标准(DNS)，另一个对称密钥加密系统是国际数据加密算法(IDEA)，它比DNS 的加密性好，而且对计算机功能要求也没有那么高。IDEA 加密标准由PGP系统使用。
4.2 防火墙
网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段进入内部网络，访问内部网络资源，保护内部网络的特殊网络互联设备。它对两个或多个网络之问传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。根据防火墙所采用的技术不同，我们可以将它分为4种基本类型：包过滤型、网络地址转换型，代理型和监测型。
(1) 包过滤型
包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP 源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用，实现成本低。它是一种xx基于网络层的安全技术，只能根据数据包的源、目标端口等网络信息进行判断，无法识别基于应用层的恶意侵入，有经验的黑客很容易伪造IP 地址，骗过包过滤型防火墙，达到入侵网络的目的。
(2) 网络地址转换型
网络地址转换是一种用于把IP地址转换成临时的、外部的IP地址标准。它允许具有私有IP地址的内网访问因特网。在内网通过安全网卡访问外网时，将产生一个映射记录。系统将外出的源地址映射为一个伪装的地址，让这个伪装的地址通过非安全网卡与外网连接，这样对外就隐藏了真实的内网地址。在外网通过非安全网卡访问内网时，它并不知道内网的连接情况，而只是通过一个开放的IP地址来请求访问。防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为是安全的访问，可以接受访问请求。当不符合规则时，防火墙认为该访问是不安全的，就屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。
(3) 代理型
代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品， 并已经开始向应用层发展。代理服务器位于客户机与服务器之间，xx阻挡了二者间的数据交流。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之问没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。
(4) 监测型
监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点中，不仅能够检测来自网络外部的攻击，同时对自内部的恶意破坏也有极强的防范作用。虽然监测型防火墙安全性上已超越了包过滤型和代理服务器防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以代理型产品为主，但在某些方面也已经开始使用监测型防火墙。
4.3 网络防病毒技术
(1) 病毒预防技术
计算机病毒的预防技术是指通过一定的技术手段防止计算机病毒对系统的破坏。计算机病毒的预防应包括对已知病毒的预防和对未知病毒的预防。预防病毒技术包括：磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。
(2) 病毒检测技术
计算机病毒的检测技术是指通过一定的技术判定出计算机病毒的一种技术。计算机病毒的检测技术有两种：一种是判断计算机病毒特征的监测技术。病毒特征包括病毒关键字、特征程序段内容、传染方式、文件长度的变化等。另一种是文件自身检测技术，这是一种不针对具体病毒程序的特征进行判断，而只是通过对文件自身特征的检验技术，如出现差异，即表示该文件已感染上了病毒达到了检测病毒存在的目的。
(3) 病毒xx技术
计算机病毒的xx技术是计算机病毒检测技术发展的必然结果，是计算机病毒传染程序的一种逆过程。但由于杀毒软件的更新是在病毒出现后才能研制，有很大的被动性和滞后性，而且由于计算机软件所要求的xx性，致使某些变种病毒无法xx，因次应经常升级杀毒软件。
(4) 结语
目前，国内市场上已经出现了防火墙、安全路由器、安全网关、黑客入侵监测、系统脆弱性扫描软件等网络安全产品。但是我国的信息网络安全技术的研究和产品开发仍处于起步阶段，仍有大量的工作需要我们去研究、开发和探索，以走出有中国特色的产学研联合发展之路，赶上或超过发达国家的水平，以此保证我国信息网络的安全，推动我国国民经济的高速发展。
第5章  计算机网络不安全因素分析
随着计算机网络的不断扩张、计算机应用知识和应用技术的普及化，网络用户群体日益扩大，但这个群体来自各个阶层，其复杂程度也在日益增加，会对网络造成危害的各类人物有增无减，显然，网络中的安全问题已日趋严重。网络的不安全因素是不法分子入侵的主要方面，因此，对计算机网络有威胁的不安全因素进行分析由为重要。
5.1 网络硬件方面的不安全因素
(1) 非法终端
偷偷并接在合法终端通信接口上进行通信的终端。或当合法用户从网上断开时，非法用户乘机接入并操纵该计算机通信接口，或由于某种原因使信息传到非法终端。应选择符合实际需要的技术先进的端口保护专用设备，使终端不易受破坏。
(2) 搭线窃听
随着信息传递的不断增加，传递数据的密级也在不断提高，不法分子为了获取大量经济、政治和军事等机密情报，往往会在通信线路上安装监听设备，非法窃听他人信息。当窃听到他们感兴趣的密级信息时，就非法接收下来。这种行为，虽然不影响通信线路上所传信息的传输，但该信息已被不法分子所获取。这种行为具有隐蔽性，通信双方不易觉察。因此通信线路应尽可能埋在地下，各连接点应放置在受监视的地方，以防外连的企图，并要定期检查，以检测是否有被窃听。
(3) 注入非法信息
通过通信线路有预谋地注入非法信息，截获所传信息，再删除原有信息，或注入非法信息再发出，使接收者收到错误信息。应进行信息流安全控制，防止不法分子通过流量和流向分析手段确定攻击的目标。
(4) 非法入侵
不法分子通过技术渗透或利用通信线路入侵网络，非法使用、破坏和获取数据及系统资源。目前的网络系统大多数采用口令来防止非法访问，一旦口令被窃，很容易侵入网络。
(5) 电磁泄漏
网络端口、传输线路和处理机都有可能因屏蔽不良而造成电磁泄漏。传送的
信息将会被他人有意或无意地接收到，因而造成信息的泄漏。应尽可能采用光缆，
因为光缆不存在因各种电磁辐射引起的电磁泄漏，而且抗干扰性能极好。
(6) 线路干扰
当公共载波转接设备陈旧和通信线路质量低劣时，会产生线路干扰，导致数
据传输出错。调制解调器会随着传输速率的上升，迅速增加错误。
5.2 网络软件方面的不安全因素
网络软件方面经常遇到的不安全因素主要有以下几点:
(1) 所采用的病毒监控软件
所采用的病毒监控软件功能不强或版本未及时升级，使计算机病毒有孔可入，侵入内部网络，不断繁殖并扩散到网上的各计算机来破坏系统。轻者使系统
出错或处理能力下降，重者可使整个系统瘫痪或崩溃。应定期清理病毒、及时升级防病毒软件版本、及时通报病毒入侵信息。同时，将网络系统中易感染病毒的文件的属性、权限加以限制，对各终端用户，只允许他们具有只读权限，断绝病毒入侵的渠道，从而达到预防的目的。
(2) 所安装的防火墙功能
所安装的防火墙功能欠佳，会导致“垃圾”泛滥，造成系统资源紧缺，严重影响到正常信息的储存、流通和交换，有时还影响到部分网络用户的身心健康。应安装高性能的防火墙，以防止网络系统受到攻击。同时，系统软件选择不当，特别是操作系统选择不当，将会给不法分子有孔可钻，侵入系统，可能造成极大危害。
(3) 系统的访问控制功能
系统的访问控制功能不强，或者对用户的分类和标识不合理，或者访问控制策略制定不当等，都会对系统或数据的安全造成威胁。应加强网络节点、网络基本系统、网络应用系统的访问控制，以提高计算机系统的处理能力对信息的保护。
(4) 应用软件
应加安全措施的应用软件可能未予标识和保护，要害的程序可能没有安全措施，使软件非法使用或破坏，或产生错误结果，要害程序一定要制定严密的安全措施。
(5) 不妥当的标定资料
不妥当的标定资料，会导致所修改的程序构成版本错误。所用加密软件的技术或方法不够先进，加密信息就很容易被人xx并获取，将会造成重大损失。网络中的数据加密，除了选择加密算法和密钥外，主要是加密方式以及实现加密的网络协议层和密钥的分配及管理，数据加密可在网络协议体系结构的多个层次上实现。
(6) 数据库系统的选择
数据库系统选择不当，就有数据保护能力低下等缺陷，一旦遭受攻击，容易引起数据出错、丢失等现象，严重时，甚至可使整个数据库系统瘫痪或崩溃。有些软件开发包文档的表述不够清楚，可能会在软件安装、调试，以及对软件移植或更改的过程中留下后遗症，而导致软件错误或数据错误，等等。
5.3 工作人员方面的不安全因素
工作人员方面的不安全因素大致有以下几点：
(1) 工作责任心
工作责任心不强，没有良好的工作态度，经常擅自离开工作岗位，使不法分子有机可乘，入室盗窃机密信息和破坏系统。工作态度不良的人员，还往往懒于检查和维护系统，或者不遵守操作规程等，这很有可能引发出重大事故，使信息无法挽回地丢失。应建立人员管理制度，加强职业道德教育，对责任心不强、不守纪律的人员{jd1}不能留在与网络安全有关的岗位上。对特别重要的岗位要实行多人负责制，任何人不得拥有过大的访问权限。
(2) 保密观念
保密观念不强或不懂保密守则，随便让无关人员进入机房重地，或随便向无关人员泄漏机密信息，或随便乱放打印和复印的机密信息资料、记有系统口令和系统运行状态跟踪等方面内容的工作笔记、载有重要信息的系统磁盘和磁带等，都会酿成严重后果。健全保密制度，对各类保密都需要慎重考虑，根据轻重程度划分好不同的保密级别，并制定出相应的保密措施。
(3) 管理素质
如果负责人的管理意识淡薄或管理能力和业务素质较差，那么规章制度一般不会健全，这对网络安全来说，存在着很多隐患。同时，业务不训练，将会出现操作失误，而使文件出错或误发，由此造成数据丢失或信息泄密等。
(4) 职业道德
缺乏职业道德的工作人员有时也会以超越权限的非法行为擅自更改、删除他人的信息内容，或利用专业知识和职务之便通过窃取他人的口令字和用户标识符来非法获取并出卖机密信息。并且警惕性不高而利欲又较重的工作人员，很容易被不法分子利用，而充当他们窃取机密信息的工具。
因此，安全技术人员应针对网络的不安全因素，密切注意新的犯罪动向和手段，不断地改进已有的落后安全技术，从而开发研究出行之有效的新技术，有效地压制安全事故的发生。
第6章 网络安全技术的应用
6.1 个人计算机网络安全
(1) 个人计算机在网络中所遭受攻击与入侵手法的分析
① 安全漏洞
许多系统都有这样那样的安全漏洞。其中一些是操作系统或应用软件本身具有的，如TCP/ IP 协议的缺陷常被用于发动拒绝服务入侵或攻击。这种攻击的目的通常是消耗带宽或消耗网络设备的CPU 和内存。入侵者通过向目标服务器发送大量的数据包，并几乎占取和消耗该服务器所有的网络带宽, 从而使其无法对正常的服务请求进行处理，导致网站无法进入，网站响应速度大大降低或服务器瘫痪。对个人上网用户而言，可能遭到大量数据包的入侵使其无法进行正常操作。
② 电子邮件入侵方式
电子邮件是Internet上运用得十分广泛的一种通讯方式，入侵者往往会使用一些邮件xx或CGI程序向目标邮箱发送大量内容重复、无用的垃圾邮件，从而使目标邮箱被塞满而无法使用。
③ 防范特洛伊木马程序
特洛伊木马程序是一种黑客软件程序，它可以直接侵入计算机系统的服务器端和用户端。一旦用户打开附有该程序的邮件或从网上直接下载的程序后，它们就会像古特洛伊人在敌人城外留下藏满士兵的木马一样留在用户计算机中，当用户连接Internet时，此程序会自动向入侵者报告用户主机的IP地址及预先设定的端口。网络入侵者在获取这些信息后，就可任意修改用户主机的参数设定、复制文件、窥视硬盘中的内容信息等，从而达到控制目的。
(2) 对网络攻击与入侵进行防御的方法
① 禁用Guest 账号
打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。
② 禁止建立空连接。
具体方法是打开注册表“HKEY_LOCAL_MACHINE/System/ Current Cont rol Set/ Cont rol/ LSA”，将DWORD 值“Restrict Anonymous”的键值改为“1”即可。
③ 删除不必要的协议。
鼠标右击“网络邻居”，选择“属性”，卸载不必要的协议，其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/ IP协议的NETBIOS 关闭，避免针对NETBIOS的攻击。选择“TCP/ IP 协议/ 属性/ 高级”，进入“高级TCP/ IP 设置”对话框，选择“WIN”标签，选择“禁用TCP/ IP 上的NETBIOS”一项，关闭NETBIOS。
④ 保障电子邮件的使用安全
a 选择安全可靠的邮件服务
目前，Internet上提供的Email账户大都是免费账户，这些免费的服务不提供任何有效的安全保障，有的免费邮件服务器常会导致邮件受损。因此{zh0}选择收费邮件账户。
b 确保邮件账号的安全防范
首先要保护好邮箱的密码。不要使用保存密码功能以图省事，入网账号与口令应重点保护。设置的口令不要太简单，{zh0}采用8位数。
c 对重要邮件信息加密处理
可使用某些工具如A – LOCK，在发送邮件之前对内容进行加密，对方收到加密信件后必须采用A - LOCK 解密后方可阅读，可防止邮件被他人截获而泄密。
⑤防范特洛伊木马程序常用的方法
a 预防特洛伊木马程序
在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。尽量避免下载可疑软件，对于网上某些可疑的，诱惑性动机比较明显的软件或信息，一般不要下载，以防染上“木马”程序。
b 禁止不明程序运行
在“开始→运行”中msconfig，在“启动”选项中查看有没有可疑项目，去掉前面的勾。
6.2 网络安全技术在商业领域中的研究及应用
(1) 防火墙技术
防火墙技术和数据加密传输技术将继续沿用并发展，多方位的扫描监控、对后门渠道的管理、防止受病毒感染的软件和文件的传输等许多问题将得到妥善解决。未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全五者综合应用。在产品及功能上，将摆脱目前对子网或内部网管理方式的依赖，向远程上网集中管理方式发展，并逐渐具备强大的病毒扫除功能；适应IP加密的需求，开发新型安全协议，建立专用网(VPN)；推广单向防火墙；增强对网络攻击的检测和预警功能；完善安全管理工具，特别是可疑活动的日志分析工具，这是新一代防火墙在编程技术上的革新。
(2) 生物识别技术
随着21世纪的来临，一种更加便捷、先进的信息安全技术将全球带进了电子商务时代，它就是集光学、传感技术、超声波扫描和计算机技术于一身的第三代身份验证技术——生物识别技术。
生物识别技术是依靠人体的身体特征来进行身份验证的一种解决方案。由于人体特征具有不可复制的特性，这一技术的安全系数较传统意义上的身份验证机制有很大的提高。人体的生物特征包括指纹、声音、面孔、视网膜、掌纹、骨架等，而其中指纹凭借其无可比拟的{wy}性、稳定性、再生性倍受关注。
(3) 加密及数字签名技术
加密技术的出现为全球电子商务提供了保证，从而使基于Internet上的电子交易系统成为了可能，因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术，加密运算与解密运算使用同样的密钥。
不对称加密，即“公开密钥密码体制”，其中加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用，解密密钥只有解密人自己知道，分别称为“公开密钥”和“秘密密钥”。
目前，广为采用的一种对称加密方式是数据加密标准(DES)。在电脑网络系统中使用的数字签名技术将是未来最通用的个人安全防范技术，其中采用公开密钥算法的数字签名会进一步受到网络建设者的亲睐。这种数字签名的实现过程非常简单：
① 发送者用其秘密密钥对邮件进行加密。建立了一个“数字签名”，然后通过公开的通信途径将签名和邮件一起发给接收者，接收者在收到邮件后使用发送者的另一个密匙——公开密钥对签名进行解密。如果计算的结果相同他就通过了验证，数字签名能够实现对原始邮件不可抵赖性的鉴别。
② 多种类型的专用数字签名方案也将在电子货币、电子商业和其他的网络安全通信中得到应用。
第7章 防火墙技术在网络安全中的应用
7.1 防火墙的概念
防火墙的原始概念是为了防止火灾从建筑物的一侧传播到另一侧而设置的防御设施。从理论上讲，防火墙的作用也与之类似，它是一种将内部网和公众访问网开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进人你的网络，同时将你“不同意”的人和数据拒之门外，{zd0}限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。
网络安全上所说的防火墙，是指在两个网络之间加强访问控制的一整套装置，是内部网络与外部网络的安全防范系统通常安装在内部网络与外部网络的连接点上。如图7-1所示。
 
图7-1 防火墙
从图中看出，所有来自Internet(外部网)的传输信息或从内部网络发出的信息都必须穿过防火墙。
从逻辑上讲，防火墙是分离器、限制器、分析器，而防火墙的物理实现方式又有所不同。通常一个防火墙由一套硬件(一个路由器或路由器的组合，一台主机)和适当的软件组成。
7.2 防火墙的基本类型
实现防火墙的技术包括四大类网络级防火墙包过滤型防火墙、应用级网关、电路级网关和规则检查防火墙。
(1) 网络级防火墙
一般是基于源地址和目的地址、应用或协议以及每个包的端口来做出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。
先进的网络级防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较。在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。
网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。
(2) 应用级网关
应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。
(3) 电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息, 这样来决定该会话(Session)是否合法，电路级网关是在OSI模型中会话层上来过滤数据包，这样比包过滤防火绪要高两层。
(4) 规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过旅防火堵一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也像电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也像应用级网关一样，可以在OSI应用层上检查教据包的内容查粉这些内容是否能符合公司网络的安全规则。
规则检查防火堵虽然集成前三者的特点但是不同于一个应用级网关的是，它并不打破客户机服务机模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火姗不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有优势。
7.3 防火墙的配置
防火墙配置有三种：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最简单。Dual-homed Gateway放置在两个网络之间，这个Dual-homed Gateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的{sx}目标，它自己一旦被攻破，整个网络也就攀尽了。
Screened-host方式中的Screeningrouter为保护Bastion-host的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningroutet和Bastionhost，只要有一个失败，整个网络就暴露了。
Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为“停火区”（DMZ，即 Demilitarized Zone）,Bastionhost 放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但成本也很高。
7.4 防火墙的安全措施
各种防火培的安全性能不尽相同，这里仅介绍一些一般防火培的常用安全措施。
(1) 防电子欺骗术
防电子欺骗术功能是保证数据包的IP地址与网关接口相符，防止通过修改IP地址的方法进行非授权访问。还应对可疑信息进行鉴别，并向网络管理员报警。
(2) 网络地址转移
地址转移是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制，完善内部寻址模式。把未注册地址映射成合法地址，就可以对Internet进行访问。
(3) 开放式结构设计
开放式结构设计使得防火墙与相关应用程序和外部用户数据库的连接相当容易, 典型的应用程序连接如财务软件包、病毒扫描、登录分析等。
(4) 路由器安全管理程序
它为Bay和Cisco的路由器提供集中管理和访问列表控制。
7.5 防火墙的选择方案
防火墙是一类防范措施的总称,。简单的防火墙，可以只用路由器实现，复杂的要用一台主机甚至一个子网来实现，它可以在IP层设置屏障，也可以用应用层软件来阻止外来攻击，所以我们要根据实际需要，对防火墙进行选择，应用技术人员的任务是权衡利弊，在网络服务高效灵活、安全保障和应用成本之间找到一个“{zj0}平衡点”，通过对防火墙的安全性分析和成本估算来决定防火墙的实施策略。
从趋势上看, 未来的防火墙将位于网络级防火墙和应用级防火墙之间, 也就是说，网络级防火墙将变得更加能够识别通过的信息，而应用级防火堵在目前的功能上则向“透明”、“低级” 方面发展。最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在节点间传送数据。
结论
 通过对本课题的研究可知，计算机网络安全现在及未来都是一个非常有前景的方向，随着技术的不断进步，网络也在不断的更新中，计算机网络安全也是日益更新，本课题使我们了解到了网络安全涉及到的各个方面，比如计算机病毒，木马程序等等，通过对其传播方式及作用方式的了解进行了相应的解决方法的叙述。其次着重介绍了防火墙的作用机制，防火墙将是计算机网络安全的重点。

参考文献
[1]熊桂喜.计算机网络[M].北京:清华大学出版社,1998.
[2]卢文斌.网络环境下计算机病毒的防治策略[J].湖北电力,武汉:2002.
[3]段海波.网络安全从网络开始.科技情报开发与经济,2005,1.
[4]焦建华.网络安全的技术与管理. 信息技术.河南省科技对外交流中心,2006,8.
[5]何莉, 许林英, 姚鹏海.计算机网络概论[M].高等教育出版社.
[6]黎洪松.计算机网络技术[M]. 电子工业出版社.
[7]成汉健.计算机网络不安全因素解析.引签与创新,2005,(7).
[8]熊桂喜,王小虎译. 计算机网络(第3版) [M].2007(5).
[9]王钊,蒋哲远,胡敏. 电子商务[M].2006(12).
[10]李红,崔丽霜.防火墙技术在网络安全中的运用.应用技术.2006(5).