摘 要
　　　計算機網絡飛速發展的同時，安全問題不容忽視。網絡安全經過了二十多年的發展，已經發展成為一個跨多門學科的綜合性科學，它包括：通信技術、網絡技術、計算機軟件、硬件設計技術、密碼學、網絡安全與計算機安全技術等。
　　　在理論上，網絡安全是建立在密碼學以及網絡安全協議的基礎上的。密碼學是網絡安全的核心，利用密碼技術對信息進行加密傳輸、加密存儲、數據完整性鑒別、用戶身份鑒別等，比傳統意義上簡單的存取控制和授權等技術更可靠。加密算法是一些公式和法則，它規定了明文和密文之間的變換方法。由于加密算法的公開化和解密技術的發展，加上發達國家對關鍵加密算法的出口限制，各個國家正不斷致力于開發和設計新的加密算法和加密機制。
　　　從技術上，網絡安全取決于兩個方面：網絡設備的硬件和軟件。網絡安全則由網絡設備的軟件和硬件互相配合來實現的。但是，由于網絡安全作為網絡對其上的信息提供的一種增值服務，人們往往發現軟件的處理速度成為網絡的瓶頸，因此，將網絡安全的密碼算法和安全協議用硬件實現，實現線速的安全處理仍然將是網絡安全發展的一個主要方向。
　　　在安全技術不斷發展的同時，全面加強安全技術的應用也是網絡安全發展的一個重要內容。因為即使有了網絡安全的理論基礎，沒有對網絡安全的深刻認識、沒有廣泛地將它應用于網絡中，那么談再多的網絡安全也是無用的。同時，網絡安全不僅僅是防火墻，也不是防病毒、入侵監測、防火墻、身份認證、加密等產品的簡單堆砌，而是包括從系統到應用、從設備到服務的比較完整的、體系性的安全系列產品的有機結合。
　　　總之，網絡在今后的發展過程中不再僅僅是一個工具，也不再是一個遙不可及僅供少數人使用的技術專利，它將成為一種文化、一種生活融入到社會的各個領域。
關鍵詞：計算機；網絡；安全；防范
目 錄
摘 要?I
目 錄?II
第1章? 緒 論?1
1.1 計算機網絡發展前景?1
1.2 本章小結?2
第2章 計算機網絡安全概述?3
2.1 計算機網絡安全的概念?3
2.2 計算機網絡安全現狀?3
2.3 本章小結?4
第3章 網絡安全的威脅因素?5
3.1 網絡安全的威脅因素?5
3.2 本章小結?5
第4章 幾種常用的網絡安全技術?7
4.1 防火墻技術?7
4.1.1 防火墻的主要功能?7
4.1.2 防火墻的主要優點?7
4.1.3 防火墻的主要缺陷?8
4.1.4 防火墻的分類?8
4.1.5 防火墻的部署?9
4.2 數據加密技術?10
4.3 系統容災技術?10
4.4 入侵檢測技術?11
4.4.1 入侵檢測系統的分類?11
4.4.2 目前入侵檢測系統的缺陷?12
4.4.3 防火墻與入侵檢測系統的相互聯動?12
4.4.4 結語?13
4.5 漏洞掃描技術?13
4.6 物理安全?13
4.7 本章小結?14
第5章 結束語與展望?15
5.1 論文總結?15
5.2 工作展望?15
致 謝?17
參考文獻?18
第1章? 緒 論
1.1 計算機網絡發展前景
　　　計算機網絡就是計算機之間通過連接介質(如網絡線、光纖等)互聯起來，按照網絡協議進行數據通信，實現資源共享的一種組織形式。計算機網絡是二十世紀60年代起源于美國，原本用于軍事通訊，后逐漸進入民用，經過短短40年不斷的發展和完善，現已廣泛應用于各個領域，并正以高速向前邁進。在不久的將來，我們將看到一個充滿虛擬性的新時代。在這個虛擬時代，人們的工作和生活方式都會極大地改變，那時我們將進行虛擬旅行，讀虛擬大學，在虛擬辦公室里工作，進行虛擬的駕車測試等。
　　　對計算機網絡發展的前景，我有如下看法：
　　〔1〕全球因特網裝置之間的通信量將超過人與人之間的通信量。因特網將從一個單純的大型數據中心發展成為一個更加聰明的高智商網絡，將成為人與信息之間的高層調節者。其中的個人網站復制功能將不斷預期人們的信息需求和喜好，用戶將通過網站復制功能篩選網站，過濾掉與己無關的信息并將所需信息以最佳格式展現出來。同時，個人及企業將獲得大量個性化服務。這些服務將會由軟件設計人員在一個開放的平臺中實現。由軟件驅動的智能網技術和無線技術將使網絡觸角伸向人們所能到達的任何角落，同時允許人們自行選擇接收信息的形式。
　　〔2〕帶寬的成本將變得非常低廉，甚至可以忽略不計。隨著帶寬瓶頸的突破，未來網絡的收費將來自服務而不是帶寬。交互性的服務，如節目聯網的視頻游戲、電子報紙和雜志等服務將會成為未來網絡價值的主體。
　　〔3〕在不久的未來，無線網絡將更加普及，其中cnet:短距無線網絡前景看俏。短距無線通訊標準Zigbee與超寬頻UWB（Ultra wideband）即將制訂完成，未來將與藍芽（Bluetooth）共同建構短距離無線網絡環境，包括藍芽、Zigbee與UWB等相關產品出貨量都將大幅成長。隨著電子電機工程師協會（IEEE）推出802.15個人局域網絡（WPAN）標準后，新一代的短距離無線通訊發展趨勢逐漸確定，除了藍芽（802.15.1）外，Zigbee（802.15.4）與UWB（802.15.3a）標準也將于今年或明年初陸續通過，未來Zigbee與UWB將以各自不同特性，如速度、價格等切入短距離無線網絡環境。
　　〔4〕計算機網絡飛速發展的同時，安全問題不容忽視。網絡安全經過了二十多年的發展，已經發展成為一個跨多門學科的綜合性科學，它包括：通信技術、網絡技術、計算機軟件、硬件設計技術、密碼學、網絡安全與計算機安全技術等。
　　　在理論上，網絡安全是建立在密碼學以及網絡安全協議的基礎上的。密碼學是網絡安全的核心，利用密碼技術對信息進行加密傳輸、加密存儲、數據完整性鑒別、用戶身份鑒別等，比傳統意義上簡單的存取控制和授權等技術更可靠。加密算法是一些公式和法則，它規定了明文和密文之間的變換方法。由于加密算法的公開化和解密技術的發展，加上發達國家對關鍵加密算法的出口限制，各個國家正不斷致力于開發和設計新的加密算法和加密機制。
　　　從技術上，網絡安全取決于兩個方面：網絡設備的硬件和軟件。網絡安全則由網絡設備的軟件和硬件互相配合來實現的。但是，由于網絡安全作為網絡對其上的信息提供的一種增值服務，人們往往發現軟件的處理速度成為網絡的瓶頸，因此，將網絡安全的密碼算法和安全協議用硬件實現，實現線速的安全處理仍然將是網絡安全發展的一個主要方向。
　　　在安全技術不斷發展的同時，全面加強安全技術的應用也是網絡安全發展的一個重要內容。因為即使有了網絡安全的理論基礎，沒有對網絡安全的深刻認識、沒有廣泛地將它應用于網絡中，那么談再多的網絡安全也是無用的。同時，網絡安全不僅僅是防火墻，也不是防病毒、入侵監測、防火墻、身份認證、加密等產品的簡單堆砌，而是包括從系統到應用、從設備到服務的比較完整的、體系性的安全系列產品的有機結合。
　　　總之，網絡在今后的發展過程中不再僅僅是一個工具，也不再是一個遙不可及僅供少數人使用的技術專利，它將成為一種文化、一種生活融入到社會的各個領域。
1.2 本章小結
　　　計算機網絡經過40多年不斷發展和完善，現在正以高速的發展方向邁進。全球的因特網裝置之間的通信量將超過人與人之間的通信量，因特網將從一個單純的大型數據中心發展成為一個高智商網絡，將成為人與信息之間的高層調節者。帶寬的成本將會變得非常低，甚至忽略不計。在不久的將來，無線網絡將更加普及，尤其短距無線網絡的前景更大。在計算機網絡飛速發展的同時，網絡安全問題也更加突出，因此各國正不斷致力于開發和設計新的加密算法加密機制，加強安全技術的應用也是網絡發展的一個重要內容。總之，計算機網絡在今后的發展中范圍更廣、潛力更大，將會融入到社會各個領域。
第2章 計算機網絡安全概述
2.1 計算機網絡安全的概念
　　　國際標準化組織將“計算機安全”定義為：“為數據處理系統建立和采取的技術和管理的安全保護，保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容，其邏輯安全的內容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網絡安全性的含義是信息安全的引申，即網絡安全是對網絡信息保密性、完整性和可用性的保護。計算機網絡安全的具體含義會隨著使用者的變化而變化，使用者不同，對網絡安全的認識和要求也就不同。從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而網絡提供商除了關心這些網絡信息安全外，還要考慮如何應付突發的自然災害、軍事打擊等對網絡硬件的破壞，以及在網絡出現異常時如何恢復網絡通信，保持網絡通信的連續性。
　　　從本質上來講，網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網絡安全既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。
2.2 計算機網絡安全現狀
　　　 計算機網絡安全是指網絡系統的硬、軟件及系統中的數據受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統連續、可靠、正常地運行，網絡服務不中斷。計算機和網絡技術具有的復雜性和多樣性，使得計算機和網絡安全成為一個需要持續更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類，而且許多攻擊都是致命的。在Internet網絡上，因互聯網本身沒有時空和地域的限制，每當有一種新的攻擊手段產生，就能在一周內傳遍全世界，這些攻擊手段利用網絡和系統漏洞進行攻擊從而造成計算機系統及網絡癱瘓。蠕蟲、后門(Back-doors)、Rootkits、DOS(DenialofServices)和Sniffer(網路監聽)是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現了它們驚人的威力，時至今日，有愈演愈烈之勢。這幾類攻擊手段的新變種，與以前出現的攻擊方法相比，更加智能化，攻擊目標直指互聯網基礎協議和操作系統層次。從Web程序的控制程序到內核級Rootlets。黑客的攻擊手法不斷升級翻新，向用戶的信息安全防范能力不斷發起挑戰。
2.3 本章小結
　　　本章主要介紹了計算機網絡安全的概念及概念所包含的內容，以及各內容的具體含義。計算機網絡安全的具體含義會因使用者的不同而變化，不同的使用者，對計算機網絡的認識和要求也不同。
　　　計算機和網絡技術具有的復雜性和多樣性，使計算機網絡安全成為一個需要持續更新和提高的領域。目前黑客的攻擊方法已超過了病毒的種類，而且許多攻擊都是致命的。由于互聯網本身的性質沒有失控和地域的限制，每種新攻擊手段在一周內傳遍全世界，這些攻擊手段利用網絡和系統漏洞進行攻擊導致計算機網絡及系統癱瘓。變種新出現的攻擊方法更具智能化，攻擊目標直接指向互聯網基礎協議和操作系統層次，而且黑客手段不斷升級翻新，因此，計算機網絡安全面臨更大挑戰。
第3章 網絡安全的威脅因素
3.1 網絡安全的威脅因素
　　　歸納起來，針對網絡安全的威脅主要有:軟件漏洞、配置不當、安全意識不強、病毒、黑客攻擊等。
　　　〔1〕軟件漏洞：
　　　每一個操作系統或網絡軟件的出現都不可能是無缺陷和漏洞的。這就使我們的計算機處于危險的境地，一旦連接入網，將成為眾矢之的。
　　　〔2〕配置不當:
　　　安全配置不當造成安全漏洞，例如，防火墻軟件的配置不正確，那么它根本不起作用。對特定的網絡應用程序，當它啟動時，就打開了一系列的安全缺口，許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置，否則，安全隱患始終存在。
　　　〔3〕安全意識不強:
　　　用戶口令選擇不慎，或將自己的帳號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅。
　　　〔4〕病毒:
　　　目前數據安全的頭號大敵是計算機病毒，它是編制者在計算機程序中插入的破壞計算機功能或數據，影響計算機軟件、硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性等特點。因此，提高對病毒的防范刻不容緩。
　　　〔5〕黑客攻擊:
　　　對于計算機數據安全構成威脅的另一個方面是來自電腦黑客(backer)。電腦黑客利用系統中的安全漏洞非法進入他人計算機系統，其危害性非常大。從某種意義上講，黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。
3.2 本章小結
　　　目前，針對網絡安全的威脅因素歸納為以下幾點：軟件漏洞、配置不當、安全意識不強、病毒、黑客攻擊等。軟件漏洞是每一個系統或網絡軟件不可避免的，安全漏洞是由于安全配置不當而造成。用戶口令選擇不慎或將自己的賬號隨意轉借他人或與他人共享帶來網絡安全問題，這是由于安全意識不強；病毒已成為數據安全的頭號大敵，而且其具有傳染性、寄生性、隱蔽性、觸發性、破壞性等特點；威脅計算機數據安全的另一方面來自電腦黑客，其危害性非常大，尤其在信息安全方面危害甚至比一般電腦病毒更為嚴重。
第4章 幾種常用的網絡安全技術
4.1 防火墻技術
　　　網絡安全所說的防火墻(Fire Wall)是指內部網和外部網之間的安全防范系統。它使得內部網絡與因特網之間或與其它外部網絡之間互相隔離、限制網絡互訪，用來保護內部網絡。防火墻通常安裝在內部網與外部網的連接點上。所有來自Internet（外部網）的傳輸信息或從內部網發出的信息都必須穿過防火墻。
4.1.1 防火墻的主要功能
　　　防火墻的主要功能包括：
　　　〔1〕防火墻可以對流經它的網絡通信進行掃描，從而過濾掉一些攻擊，以免其在目標計算機上被執行。
　　　〔2〕防火墻可以關閉不使用的端口，而且它還能禁止特定端口的輸出信息。
　　　〔3〕防火墻可以禁止來自特殊站點的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務和控制非法用戶對網絡的訪問。
　　　〔4〕防火墻可以控制網絡內部人員對Internet上特殊站點的訪問。
　　　〔5〕防火墻提供了監視Internet安全和預警的方便端點。
4.1.2 防火墻的主要優點
　　　防火墻的主要優點包括:
　　　〔1〕可作為網絡安全策略的焦點
　　　防火墻可作為網絡通信的阻塞點。所有進出網絡的信息都必須通過防火墻。防火墻將受信任的專用網與不受信任的公用網隔離開來，將承擔風險的范圍從整個內部網絡縮小到組成防火墻系統的一臺或幾臺主機上。從而在結構上形成了一個控制中心，極大地加強了網絡安全，并簡化了網絡管理。
　　　〔2〕可以有效記錄網絡活動
　　　由于防火墻處于內網與外網之間，即所有傳輸的信息都會穿過防火墻。所以，防火墻很適合收集和記錄關于系統和網絡使用的多種信息，提供監視、管理與審計網絡的使用和預警功能。
　　　〔3〕為解決IP地址危機提供了可行方案?
　　　由于Internet的日益發展及IP地址空間有限，使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設置網絡地址轉換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。
4.1.3 防火墻的主要缺陷
　　　由于互聯網的開放性，防火墻也有一些弱點，使它不能完全保護網絡不受攻擊。防火墻的主要缺陷有：
　　　〔1〕防火墻對繞過它的攻擊行為無能為力。
　　　〔2〕防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對于病毒只能安裝反病毒軟件。
　　　〔3〕防火墻需要有特殊的較為封閉的網絡拓撲結構來支持。網絡安全性的提高往往是以犧牲網絡服務的靈活性、多樣性和開放性為代價。
4.1.4 防火墻的分類
　　　防火墻的實現從層次上大體可分為三類：包過濾防火墻，代理防火墻和復合型防火墻。???
　　　〔1〕包過濾防火墻
　　　包過濾防火墻是在IP層實現，它可以只用路由器來實現。包過濾防火墻根據報文的源IP地址，目的IP地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過。
　　　包過濾路由器的最大優點是：對用戶來說是透明的，即不需要用戶名和密碼來登陸。???
　　　包過濾路由器的弊端是明顯的，由于它通常沒有用戶的使用記錄，我們不能從訪問中發現黑客的攻擊記錄。它還有一個致命的弱點，就是不能在用戶級別上進行過濾，即不能識別用戶與防止IP地址的盜用。如果攻擊者將自己的主機設置為一個合法主機的IP地址，則很容易地通過包過濾防火墻。
　　　〔2〕代理防火墻
　　　代理防火墻也叫應用層網關防火墻，包過濾防火墻可以按照IP地址來禁止未授權者的訪問。但它不適合單位用來控制內部人員訪問外部網絡，對于這樣的企業，應用代理防火墻是更好的選擇。
　　　代理服務是設置在Internet防火墻網關上的應用，是在網管員允許下或拒絕的特定的應用程序或者特定服務，一般情況下可應用于特定的互聯網服務，如超文本傳輸、遠程文件傳輸等。同時還可應用于實施較強的數據流監控、過濾、記錄和報告等功能。
　　　 應用層網關包括應用代理服務器、回路級代理服務器、代管服務器、IP通道、網絡地址轉換器、隔離域名服務器和郵件技術等。
　　　〔3〕復合型防火墻??? 復合型防火墻是將數據包過濾和代理服務結合在一起使用，從而實現了網絡安全性、性能和透明度的優勢互補。
　　　隨著技術的發展，防火墻產品還在不斷完善、發展。目前出現的新技術類型主要有以下幾種：狀態監視技術、安全操作系統、自適應代理技術、實時侵入檢測系統等。混合使用數據包過濾技術、代理服務技術和一些新技術是未來防火墻的趨勢。
4.1.5 防火墻的部署
　　　防火墻是網絡安全的關口設備，只有在關鍵網絡流量通過防火墻的時候，防火墻才能對此實行檢查，防護功能。
　　　〔1〕防火墻的位置一般是內網與外網的接合處，用來阻止來自外部網絡的入侵。
　　　〔2〕如果內部網絡規模較大，并且設置虛擬局域網（VLAN），則應該在各個VLAN之間設置防火墻。
　　　〔3〕通過公網連接的總部與各分支機構之間應該設置防火墻。
　　　〔4〕主干交換機至服務器區域工作組交換機的骨干鏈路上。
　　　〔5〕遠程撥號服務器與骨干交換機或路由器之間。
　　　總之，在網絡拓撲上，防火墻應當處在網絡的出口與不同安全等級區域的結合處。安裝防火墻的原則是：只要有惡意侵入的可能，無論是內部網還是外部網的連接處都應安裝防火墻。
　　　防火墻技術是指網絡之間通過預定義的安全策略，對內外網通信強制實施訪問控制的安全應用措施。它對兩個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。由于它簡單實用且透明度高，可以在不修改原有網絡應用系統的情況下，達到一定的安全要求，所以被廣泛使用。據預測近5年世界防火墻需求的年增長率將達到174%。
　　　目前，市場上防火墻產品很多，一些廠商還把防火墻技術并入其硬件產品中，即在其硬件產品中采取功能更加先進的安全防范機制。可以預見防火墻技術作為一種簡單實用的網絡信息安全技術將得到進一步發展。然而，防火墻也并非人們想象的那樣不可滲透。在過去的統計中曾遭受過黑客入侵的網絡用戶有三分之一是有防火墻保護的，也就是說要保證網絡信息的安全還必須有其他一系列措施，例如對數據進行加密處理。需要說明的是防火墻只能抵御來自外部網絡的侵擾，而對企業內部網絡的安全卻無能為力。要保證企業內部網的安全，還需通過對內部網絡的有效控制和管理來實現。
4.2 數據加密技術
　　　數據加密技術就是對信息進行重新編碼，從而隱藏信息內容，使非法用戶無法獲取信息、的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性，防止秘密數據被外部破析所采用的主要手段之一。
　　　數據加密技術按作用不同可分為數據存儲、數據傳輸、數據完整性的鑒別以及密匙管理技術4種。數據存儲加密技術是以防止在存儲環節上的數據失密為目的，可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據流加密，常用的有線路加密和端口加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證，達到保密的要求，系統通過對比驗證對象輸入的特征值是否符合預先設定的參數，實現對數據的安全保護。數據加密在許多場合集中表現為密匙的應用，密匙管理技術事實上是為了數據使用方便。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環節上的保密措施。
　　　數據加密技術主要是通過對網絡數據的加密來保障網絡的安全可靠性，能夠有效地防止機密信息的泄漏。另外，它也廣泛地被應用于信息鑒別、數字簽名等技術中，用來防止電子欺騙，這對信息處理系統的安全起到極其重要的作用。
4.3 系統容災技術
　　　一個完整的網絡安全體系，只有防范和檢測措施是不夠的，還必須具有災難容忍和系統恢復能力。因為任何一種網絡安全設施都不可能做到萬無一失， 一旦發生漏防漏檢事件， 其后果將是災難性的。此外，天災人禍、不可抗力等所導致的事故也會對信息系統造成毀滅性的破壞。這就要求即使發生系統災難，也能快速地恢復系統和數據，才能完整地保護網絡信息系統的安全。現階段主要有基于數據備份和基于系統容錯的系統容災技術。數據備份是數據保護的最后屏障，不允許有任何閃失。但離線介質不能保證安全。數據容災通過IP容災技術來保證數據的安全。數據容災使用兩個存儲器，在兩者之間建立復制關系，一個放在本地，另一個放在異地。本地存儲器供本地備份系統使用，異地容災備份存儲器實時復制本地備份存儲器的關鍵數據。二者通過IP相連，構成完整的數據容災系統，也能提供數據庫容災功能。
　　　集群技術是一種系統級的系統容錯技術，通過對系統的整體冗余和容錯來解決系統任何部件失效而引起的系統死機和不可用問題。集群系統可以采用雙機熱備份、本地集群網絡和異地集群網絡等多種形式實現，分別提供不同的系統可用性和容災性。其中異地集群網絡的容災性是最好的。存儲、備份和容災技術的充分結合，構成的數據存儲系統，是數據技術發展的重要階段。隨著存儲網絡化時代的發展，傳統的功能單一的存儲器，將越來越讓位于一體化的多功能網絡存儲器。
4.4 入侵檢測技術
　　　 入侵檢測技術是從各種各樣的系統和網絡資源中采集信息（系統運行狀態、網絡流經的信息等），并對這些信息進行分析和判斷。通過檢測網絡系統中發生的攻擊行為或異常行為，入侵檢測系統可以及時發現攻擊或異常行為并進行阻斷、記錄、報警等響應，從而將攻擊行為帶來的破壞和影響降至最低。同時，入侵檢測系統也可用于監控分析用戶和系統的行為、審計系統配置和漏洞、識別異常行為和攻擊行為（通過異常檢測和模式匹配等技術）、對攻擊行為或異常行為進行響應、審計和跟蹤等。
　　　典型的IDS系統模型包括4個功能部件：
　　　〔1〕事件產生器，提供事件記錄流的信息源。???
　　　〔2〕事件分析器，這是發現入侵跡象的分析引擎。???
　　　〔3〕響應單元，這是基于分析引擎的分析結果產生反應的響應部件。???
　　　〔4〕事件數據庫，這是存放各種中間和最終數據的地方的統稱，它可以是復雜的數據庫，也可以是簡單的文本文件。
4.4.1 入侵檢測系統的分類???
　　　入侵檢測系統根據數據來源不同，可分為基于網絡的入侵檢測系統和基于主機的入侵檢測系統。
　　　網絡型入侵檢測系統的實現方式是將某臺主機的網卡設置成混雜模式，監聽本網段內的所有數據包并進行判斷或直接在路由設備上放置入侵檢測模塊。一般來說，網絡型入侵檢測系統擔負著保護整個網絡的任務。???
　　　主機型入侵檢測系統是以系統日志、應用程序日志等作為數據源，當然也可以通過其它手段（如檢測系統調用）從所有的主機上收集信息進行分析。???
　　　入侵檢測系統根據檢測的方法不同可分為兩大類：異常和誤用。???
　　　異常入侵檢測根據用戶的異常行為或對資源的異常存放來判斷是否發生了入侵事件。???
　　　誤用入侵檢測通過檢查對照已有的攻擊特征、定義攻擊模式、比較用戶的活動來了解入侵。例如，著名的Internet蠕蟲事件是利用fingerd(FreeBSD)上的守護進程，允許用戶遠程讀取文件系統，因而存在可以查看文件內容的漏洞和Sendmail(Linux上的守護進程，利用其漏洞可取得root權限)的漏洞進行攻擊。對這種攻擊可以使用這種檢測方法。
4.4.2 目前入侵檢測系統的缺陷???
　　　入侵檢測系統作為網絡安全防護的重要手段，目前的IDS還存在很多問題，有待于我們進一步完善。???
　〔1〕高誤報率???
　　　誤報率主要存在于兩個方面：一方面是指正常請求誤認為入侵行為；另一方面是指對IDS用戶不關心事件的報警。導致IDS產品高誤報率的原因是IDS檢測精度過低和用戶對誤報概念的不確定。???
　〔2〕缺乏主動防御功能???
　入侵檢測技術作為一種被動且功能有限的安全防御技術，缺乏主動防御功能。因此，需要在一代IDS產品中加入主動防御功能，才能變被動為主動。
4.4.3 防火墻與入侵檢測系統的相互聯動???
　　　防火墻是一個跨接多個物理網段的網絡安全關口設備。它可以對所有流經它的流量進行各種各樣最直接的操作處理，如無通告拒絕、ICMP拒絕、轉發通過（可轉發至任何端口）、各以報頭檢查修改、各層報文內容檢查修改、鏈路帶寬資源管理、流量統計、訪問日志、協議轉換等。
　　　 當我們實現防火墻與入侵檢測系統的相互聯動后，IDS就不必為它所連接的鏈路轉發業務流量。因此，IDS可以將大部分的系統資源用于對采集報文的分析，而這正是IDS最眩目的亮點。IDS可以有足夠的時間和資源做些有效的防御工作，如入侵活動報警、不同業務類別的網絡流量統計、網絡多種流量協議恢復（實時監控功能）等。IDS高智能的數據分析技術、詳盡的入侵知識描述庫可以提供比防火墻更為準確、更嚴格、更全面的訪問行為審查功能。???
　　　綜上所述，防火墻與IDS在功能上可以形成互補關系。這樣的組合較以前單一的動態技術或靜態技術都有了較大的提高。使網絡的防御安全能力大大提高。防火墻與IDS的相互聯動可以很好地發揮兩者的優點，淡化各自的缺陷，使防御系統成為一個更加堅固的圍墻。在未來的網絡安全領域中，動態技術與靜態技術的聯動將有很大的發展市場和空間。
4.4.4 結語
　　　網絡安全是一個很大的系統工程，除了防火墻和入侵檢測系統之外，還包括反病毒技術和加密技術。反病毒技術是查找和清除計算機病毒技術。其原理就是在殺毒掃描程序中嵌入病毒特征碼引擎。然后根據病毒特征碼數據庫來進行對比式查殺。加密技術主要是隱藏信息、防止對信息篡改或防止非法使用信息而轉換數據的功能或方法。它是將數據信息轉換為一種不易解讀的模式來保護信息，除非有解密密鑰才能閱讀信息。加密技術包括算法和密鑰。算法是將普通的文本（或是可以理解的信息）與一串數字（密鑰）的結合，產生不可理解的密文的步驟。密鑰是用來對數據進行編碼和解碼的一種算法。在安全保密中，可通過適當的密鑰加密技術和管理機制來保證網絡的信息通信安全。
4.5 漏洞掃描技術
??? 漏洞掃描是自動檢測遠端或本地主機安全的技術，它查詢TCP/IP各種服務的端口，并記錄目標主機的響應，收集關于某些特定項目的有用信息。這項技術的具體實現就是安全掃描程序。掃描程序可以在很短的時間內查出現存的安全脆弱點。掃描程序開發者利用可得到的攻擊方法，并把它們集成到整個掃描中，掃描后以統計的格式輸出，便于參考和分析。
4.6 物理安全
　　　為保證信息網絡系統的物理安全，還要防止系統信息在空間的擴散。通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。為保證網絡的正常運行，在物理安全方面應采取如下措施:
　　　〔1〕產品保障方面:主要指產品采購、運輸、安裝等方面的安全措施。
　　　〔2〕運行安全方面:網絡中的設備，特別是安全類產品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術支持服務。對一些關鍵設備和系統，應設置備份系統。
　　　〔3〕防電磁輻射方面:所有重要涉密的設備都需安裝防電磁輻射產品，如輻射干擾機。
　　　〔4〕保安方面:主要是防盜、防火等，還包括網絡系統所有網絡設備、計算機、安全設備的安全防護。???
　　　計算機網絡安全是個綜合性和復雜性的問題。面對網絡安全行業的飛速發展以及整個社會越來越快的信息化進程，各種新技術將會不斷出現和應用。???
　　　網絡安全孕育著無限的機遇和挑戰，作為一個熱門的研究領域和其擁有的重要戰略意義，相信未來網絡安全技術將會取得更加長足的發展。
4.7 本章小結
　　　本章主要介紹了常用的幾種網絡安全防范技術，有防火墻技術，數據加密技術，系統容災，入侵檢測技術，漏洞掃描技術，物理安全。
　　　防火墻是指內部網和外部網之間的安全防范系統，防火墻這一節主要講述了防火墻的分類，主要功能和優缺點以及防火墻的部署，數據加密技術是信息重新編碼從而隱藏信息內容使非法用戶無法獲取信息的真實的一種技術手段，是為了提供信息系統及數據的安全性和保密性，防止外部獲析采用的手段之一。系統容災技術是可以使系統和數據快速恢復的技術。入侵檢測技術是從各種各樣的系統和網絡資源中采集信息并對這些信息進行分析和判斷。入侵檢測技術可以即使發現攻擊和異常行為并進行阻斷記錄報警等響應，從而使攻擊行為帶來的破壞影響降到最低，為了減少或干擾擴散出去的空間信號，通常是在物理上采取一定的防護措施保證網絡的正常運行。
第5章 結束語與展望
5.1 論文總結
　　　隨著互聯網的飛速發展，網絡安全逐漸成為一個潛在的巨大問題。網絡安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構成犯罪行為的問題。在其最簡單的形式中，它主要關心的是確保無關人員不能讀取，更不能修改傳送給其他接收者的信息。
　　 大多數安全性問題的出現都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的。可以看出保證網絡安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的，通常也是狡猾的、專業的，并且在時間和金錢上是很充足、富有的人。同時，必須清楚地認識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。對于這一問題我們應該十分重視。
　　　影響計算機網絡安全的主要因素：
　　〔1〕網絡系統在穩定性和可擴充性方面存在問題。
　由于設計的系統不規范、不合理以及缺乏安全性考慮，因而使其受到影響。
　　〔2〕網絡硬件的配置不協調。
　　一是文件服務器。它是網絡的中樞，其運行穩定性、功能完善性直接影響網絡系統的質量。網絡應用的需求沒有引起足夠的重視，設計和選型考慮欠周密，從而使網絡功能發揮受阻，影響網絡的可靠性、擴充性和升級換代。二是網卡用工作站選配不當導致網絡不穩定。
　　〔3〕缺乏安全策略。
　　　許多站點在防火墻配置上無意識地擴大了訪問權限，忽視了這些權限可能會被其他人員濫用。
　　〔4〕訪問控制配置的復雜性，容易導致配置錯誤，從而給他人以可乘之機。
　　〔5〕管理制度不健全，網絡管理、維護任其自然。
5.2 工作展望
　　　對網絡安全本質的認識卻還處于一個相當原始的階段，其表現形式是基于密碼術的網絡安全和基于防火墻的網絡安全尚不能完美地結合成一種更加有效的安全機制。我們期望，如果能夠提出一個合理的數學模型，將會對網絡安全的研究和可實際應用網絡安全系統的開發起非常大的促進作用。
　　　從實用的角度出發，目前人們已提出了一些基于人工智能的網絡安全檢測專家系統。這方面，SRI(Stanford Research Institute)和Purdue大學已做了許多工作。同時，基于主動網絡安全檢測的安全系統的研究也已起步，在這方面，Internet Security Systems也已有一些產品問世。
致 謝
　　　在論文完成之際，我要特別感謝我的指導老師宋巍老師和王京老師的熱情關懷和悉心指導。在我撰寫論文的過程中，宋巍老師和王京老師的傾注了大量的心血和汗水，無論是在論文的選題、構思和資料的收集方面，還是在論文的研究方法以及成文定稿方面，我都得到了宋巍老師和王京老師的悉心細致的教誨和無私的幫助，特別是她廣博的學識、深厚的學術素養、嚴謹的治學精神和一絲不茍的工作作風使我終生受益，在此表示真誠地感謝和深深的謝意。
　　　在論文的寫作過程中，也得到了許多同學的寶貴建議，同時還到許多在工作過程中許多同事的支持和幫助，在此一并致以誠摯的謝意。感謝所有關心、支持、幫助過我的良師益友。感謝參考文獻中的各位作者，真誠的感謝對我的幫助。
　　　最后，向在百忙中抽出時間對本文進行評審并提出寶貴意見的各位專家表示衷心地感謝！
參考文獻
[1] 李軍義.計算機網絡技術與應用[M].北京：北方交通大學出版社，2006.7．
[2] 蔡立軍.計算機網絡安全技術[M].北京:中國水利水電出版社,2005.
[3] 張嘉寧.網絡防火墻技術淺析[J].通信工程.2004(3).
[4] 鄭成興.網絡入侵防范的理論與實踐[M]. 北京：機械工業出版社，2006.9.
[5] [美] Merike Kaeo 著.網絡安全性設計[M]. 北京：人民郵電出版社，2005.9.
[6] 黃怡強,等.淺談軟件開發需求分析階段的主要任務[M].中山大學學報論叢，2002(01).
[7] 胡道元.計算機局域網[M].北京:清華大學出版社.2001.
[8] 朱理森，張守連.計算機網絡應用技術[M].北京:專利文獻出版社，2001.
[9] 謝希仁.計算機網絡(第4版)[M].北京:電子工業出版社，2003.
?