網路安全訪問控制能夠實現

1. 邏輯安全的訪問控制可採取哪兩種措施

以下17個習題請同學們以小組形式進行課前預習，並取得共識。下節課我們以小組抽簽形式，隨機抽取題目，並立即由組內一名學生回答問題，答題正確全組成員都得10分。在某小組答題時，其他同學注意傾聽，其後可進行補充答題，凡補充答題正確，補充答題小組全體加1分。若某組答題不全面，全班無人補充，最後教師補充，則全班都扣1分。

分組表：A1組包括A1、B1、C1、D1座位同學；A2組包括A2、B2、C2、D座位同學，以此類推；E1組包括E1、F1、G1座位同學；E2組包括E2、F2、G2座位同學，以此類推。

題目：

1． 邏輯安全的訪問控制可採取哪兩種措施？

2． 信息加密的安全措施有哪兩種方法?

3． 物理安全中防靜電的最佳措施是什麼？

4． 防電磁泄漏可用哪三種方法？

5． 計算機病毒共有七個特徵，其中那四個特點是所有病毒共有的特點？

6． 討論如何正確使用殺病毒軟體？（可以根據以下討論：是否計算機殺毒軟體安裝越多越好；殺毒軟體是否萬能的，只要安裝了，就能殺防所有病毒；是否需要及時升級病毒庫等等）

7． 請分別說說防病毒軟體與防火牆的功能與特點（包括區別）。

8． 計算機信息安全分為物理與邏輯安全，物理與邏輯安全各包括哪些方面？並請判斷下面一個案例屬於哪個物理安全，一台計算機沒有聯網，也沒有人從中下載資料，但信息被人竊取。

9． 計算機環境維護需採取哪些措施？

10． 有一種病毒進入計算機後，一般人發現不了，但在某一特定時間發作，破壞計算機系統，根據以上情況，反映了病毒哪些特徵？

11． 針對計算機病毒，除可用防病毒軟體外，還需注意做到哪幾點？（簡單扼要敘述）

12． 當前計算機犯罪有哪些行為？我們經常收到一些垃圾郵件，討論為什麼會收到垃圾郵件，這應是哪種犯罪行為？

13． 預防計算機犯罪應從哪幾方面著手？其中青少年上網公約體現了哪方面的預防措施？

14． 目前計算機網路安全產品包括哪幾種？其中防火牆與網路入侵檢測產品的區別是什麼？

15． 請討論說出國內外5個著名的防病毒軟體。

16． 計算機病毒的定義是什麼？

17． 請討論說出計算機病毒與計算機木馬的本質區別。
教育站點伺服器主機的選擇

在選擇教育站點伺服器主機時，除了考慮諸如功能、性能和價格等因素外，更重要的要考慮安全需求，伺服器很多，但它們的安全性能是不一樣的，要使教育站點具有安全性就必須選擇滿足安全需求的伺服器，網路教育站點的安全需求一般包括：

⑴較小的易受攻擊性

⑵只能由授權用戶進行管理的限制能力

⑶拒絕訪問伺服器中沒有發布的信息的能力

⑷關閉操作系統或伺服器軟體中不必要的網路服務的能力

⑸訪問各種外部可執行程序（如CGI scripts、伺服器plug-ins）的可控能力

⑹為偵測入侵或企圖入侵，記錄教育站點伺服器活動的能力

2 教育網路分段及虛擬網路（VLAN）運用和劃分原則

對區域網來說，網路分段和VLAN的運用是保證教育網路安全的有效措施。

2.1 教育網路分段改善安全性能。

教育網路分段是保證安全的一項重要措施，同時也是一項基本措施，其指導思想在於將非法用戶與網路資源相互隔離，從而達到限制用戶非法訪問的目的。教育網路分段可分為物理分段和邏輯分段兩種方式：

物理分段通常是指將網路從物理層和數據鏈路層(ISO/OSI模型中的第一層和第二層)上分為若干網段,各網段相互之間無法直接通訊。目前，許多交換機都有一定的訪問控制能力，可實現對網路的物理分段。

邏輯分段則是指將整個系統在網路層（ISO/OSI模型中的第三層）上進行分段。例如，對於TCP/IP網路，可把網路分成若干IP子網，各子網間必須通過路由器、路由交換機、網關或防火牆等設備進行連接，利用這些中間設備（含軟體、硬體）的安全機制來控制各自網間的訪問。在實際應用過程中可採取物理分段與邏輯分段相結合的方法來實現對網路系統的安全性能控制。

2.2 運用VLAN改變安全性能

乙太網從本質基於廣播機制，但應用了交換和VLAN技術後，實際上轉變為點到點通訊，除非設置了監聽口，信息交換也不會存在監聽和插入（改變）問題。

由以上運行機制帶來的網路安全的好處是顯而易見的：

信息只到達應該到達的地點。因此、防止了大部分基於網路監聽的入侵手段。

通過虛擬網設置的訪問控制，使在虛擬網外的網路節點不能直接訪問虛擬網內節點。

2.3 VLAN 之間的劃分原則

VLAN 的劃分方式的目的是保證系統的安全性。因此，可以按照系統的安全性來劃分VLAN；可以將主要的伺服器系統單獨劃分作一個VLAN，如資料庫伺服器、電子郵件伺服器等。也可以按照教育機構、對象的設置來劃分VLAN，如可以按照教育機構伺服器管理員所在的網路單獨作為一個leader VLAN(LVLAN)，其它層次的分別作為另一個或幾個VLAN，並且控制LVLAN與其他VLAN之間的單向信息流向，即允許LVLAN查看其他VLAN的相關信息，其他VLAN不能訪問LVLAN的信息。VLAN之內的連接採用交換實現，VLAN 與VLAN之間採用路由實現。

3 伺服器主機和伺服器軟體的配置

3.1 教育站點伺服器與內部網路隔離

公用伺服器主機是一個供公眾訪問的計算機，無論主機及其應用軟體配置的如何好，總會有人發現新的入侵點，入侵者可以觀察或捕獲到內部主機之間的網路通信，也可能進入內部主機，獲得更詳細的信息，為此需要把伺服器主機與內部網路隔離，如圖1所示。

圖1 WEB伺服器網路結構

3.2 在一個更安全的主機上維持一個可靠的教育站點內容拷貝。

當伺服器上的信息完整性受到破壞時，需要一個可信賴的拷貝來恢復．建議把一個可靠的信息拷貝存貯於與伺服器主機隔離的更安全的主機上（即放在網路防火牆內的內部網路上），並且除了教育站點管理員可以訪問這個拷貝外，其它用戶（無論是內部還是外部的）都不能訪問拷貝。

3.3 教育站點伺服器主機只提供基本的網路服務

現代的計算機具有可提供多種服務和應用的功能，如果多項服務和應用同時在一台主機上提供，會使主機的安全性能減弱，為此，應該按以下方法來配置教育站點伺服器：

⑴．盡可能多地關掉服務和應用，然後有選擇地打開那些基本的教育服務；

⑵．確定你打算支持教育伺服器的功能（如CGI腳本）；

⑶．如果有其它的方法提供同樣功能，選擇更安全的方法；

⑷．一旦最少的教育服務和應用確定後，確保它們在主機上是可用的；

⑸．當所有配置選項確定後，為關鍵系統軟體生成並記錄加密校驗或其它完整校驗信息。

3.4 配置教育站點伺服器，增加安全性

由於不同的機構組織對公用站點的需求是不一樣的，因此伺服器軟體已提供了各種軟體配置選項以滿足不同站點的需求．省缺的配置設定可能是對「典型」站點的最優設定，當然這是銷售商想像的最優化，一般是基於性能需求或容易安裝來設定的．但在安裝教育站點伺服器軟體時，必須認真仔細地按安全需求配置伺服器．

⑴．配置教育站點伺服器日誌能力

教育站點伺服器日誌文件記錄著伺服器對每一請求的響應行為信息，分析這些日誌可以得到有用的用戶信息和安全信息．目前有許多日誌文件分析工具，大部分可對兩種標准日誌文件格式進行分析，這兩種格式是「Common Log Format」和「Extended Common Log Format」 ，伺服器應該配置成能生成兩種格式中任意一種格式的日誌文件。

⑵. 配置教育站點伺服器的輔助網路服務

一般教育站點伺服器可同時提供其它的網路服務，如文件傳輸協議（FTP），gopher協議，電子郵件或按受從客戶機來的文件上載等，為增加教育站點伺服器的安全性，在確定不需要這些服務的條件下,建議關閉所有的輔助服務

⑷. 配置教育站點伺服器的本地或遠程管理

利用教育站點主機控制台來管理教育站點，這樣可以控制在教育站點伺服器（防火牆外）與管理工作站（防火牆內）之間的網路傳輸，以增加安全性。

但是在許多情況下，教育站點伺服器管理不得不從遠程進行管理，這時必須要保證：

①.伺服器主機有很強的驗證用戶身份能力，特別要避免傳送明文口令，除非這是一個一次性口令。

②.伺服器主機只允許從某個特定遠程主機進行遠程管理

③.在管理主機與伺服器之間的網路傳輸不應有這樣的信息，這些信息如果入侵者截獲後，可訪問到伺服器或內部網路。

⑸．確定操作系統提供什麼樣的訪問控制

有些操作系統可以對教育站點服務的遠程訪問文件加以限制，這些進程可以限制為對某些文件的只讀訪問，而對一些文件不允許訪問。

⑹ . 利用文件訪問控制來實現：

①. 公用教育站點的內容文件只能讀，不能由伺服器管理進程來寫

②. 存貯教育站點內容的目錄不能由伺服器管理進程來寫

③. 公用教育站點內容文件只能由伺服器管理進程來寫

④. 教育站點伺服器日誌文件可由伺服器進程寫，但不能作為教育站點內容來讀

⑤. 教育站點伺服器日誌文件只能由管理進程讀

⑥. 任何由教育站點伺服器進程生成的臨時文件（如在生成動態頁面時所需的臨時文件）必須限制在某個特定的子目錄下。

⑺． 不允許目錄列表服務

按照教育站點協議（http），一個以斜杠結束的URL是請求列出一個目錄中的文件。按一般的規則，即使該目錄下的所有文件都是准備發布的文件，也不允許伺服器對這類請求有響應。這類請求表示試圖用非教育站點提供的方法來定位信息，當瀏覽有困難或鏈接斷裂了，用戶就可能企圖重新排序。入侵者可用此方法定位那些由教育站點介面隱藏的信息。可以從伺服器日誌文件中查出這類請求。

⑻．配置伺服器使之不能提供指定文件目錄數以外文件的服務。

具體的實現可以通過伺服器軟體本身的配置選擇，也可以通過操作系統選擇。必須避免在文件目錄樹中使用鏈接或別名，因為它指出了伺服器主機或網路中的其它文件。

⑼. 確保伺服器日誌文件或配置文件不能作為公用教育站點內容文件。

日誌文件應該存貯在伺服器主機上，而不是傳送到內部網路的另一台主機上，同樣，伺服器配置文件或參考文件也應保持在伺服器主機上。

利用伺服器配置選項和操作系統訪問控制，確保這些文件不能傳送給用戶，即使用戶知道這些文件的名字（URLs）。如果可能，把這些文件放在公用數據目錄樹以外的地方。

⑽. 當所有的的配置選擇完成好後，要為伺服器軟體生成一個密碼校驗或其它的完整檢驗基準信息。

4 網路教育站點伺服器管理

4.1 用安全模式管理教育站點伺服器

教育站點伺服器管理包括為伺服器增加新內容，檢查伺服器日誌，安裝新的外部程序以及改變伺服器配置等等。這些管理可以在伺服器控制台上完成，也可以通過網路在另一主機上來管理，無論從哪裡來管，一定要確保其安全性，特別是以遠程主機管理伺服器時，安全更加重要。

⑴．當選用遠程主機來管理教育站點伺服器時，應選用安全的方式來管理

①．教育站點伺服器主機應有很強的用戶身份驗證功能，要避免使用明文形式傳輸密碼口令。

②．教育站點伺服器從某一特定主機進行管理，主機的驗證不依賴於網路解析信息，如IP地址或DNS名等。

③．在管理員主機與伺服器之間的網路傳輸過程中，不應給入侵者提供訪問伺服器或內部網路的信息。

⑵．如果允許，可使用活動存貯介質把教育站點的內容拷貝到教育站點伺服器上。

⑶ ．當需要在另一台主機上檢查伺服器的日誌文件時，要用安全方法把日誌文件傳送到那台主機上。

⑷．當伺服器的配置或站點內容改變後，要生成一個新的加密校驗或其它的完整校驗信息。

4.2 檢查目錄和文件有無意外的改變

網路環境中的文件系統包括了大量軟體和數據文件，目錄和文件的意外改變，特別是那些訪問受到限制的目錄和文件的意外改變，表明發生了某種入侵。入侵者為了隱藏他們在系統中的存在，通常用相同功能的程序替換系統的原有程序並修改日誌文件，或在系統中生成新的文件。所以，利用檢查系統的目錄和文件的更改信息的方法，可盡早發現入侵。

⑴. 為系統文件建立優先順序和檢查時間表。

⑵. 對關鍵文件和目錄一個權威參考數據，這些數據包括：

·在文件系統中的位置

·可選擇的路徑

·文件的內容、目錄的入口

·實際長度、如可能還應有分配的單元

·文件和目錄生成和最後修改的時間、日期

·所屬權和訪問許可設定

⑶. 按照建立的計劃，用權威參考數據比較文件的屬性和內容，查驗目錄和文件的完整性。

⑷．查驗丟失的文件或目錄

⑸．查驗任何新的文件和目錄

⑹．調查已發現的任何意外改變的原因

4.3 檢查系統和網路日誌

日誌文件記錄了系統和網路中發生的異常和意外活動，入侵者經常在日誌文件中留下了其活動的足跡，因此定期地檢查系統和網路日誌是發現入侵者的方法之一。日誌文件依操作系統、運行的應用軟體和配置的不同而不同，表1給出了典型的日誌文件包含的信息。

2. 網路安全風險與對策

網路安全風險與對策【1】

摘要：要使網路信息在一個良好的環境中運行，加強網路信息安全至關重要。

必須全方位解析網路的脆弱性和威脅，才能構建網路的安全措施，確保網路安全。

本文在介紹網路安全的脆弱性與威脅的基礎上，簡述了網路安全的技術對策。

關鍵詞：網路安全 脆弱性 威脅 技術對策

一、網路安全的脆弱性

計算機網路尤其是互連網路，由於網路分布的廣域性、網路體系結構的開放性、信息資源的共享性和通信信道的共用性，使計算機網路存在很多嚴重的脆弱性。

1.不設防的網路有許多個漏洞和後門

系統漏洞為病毒留後門，計算機的多個埠、各種軟體，甚至有些安全產品都存在著或多或少的漏洞和後門，安全得不到可靠保證。

2.電磁輻射

電磁輻射在網路中表現出兩方面的脆弱性：一方面，網路周圍電子電氣設備產生的電磁輻射和試圖破壞數據傳輸而預謀的干擾輻射源;另一方面，網路的終端、列印機或其他電子設備在工作時產生的電磁輻射泄露，可以將這些數據(包括在終端屏幕上顯示的數據)接收下來，並且重新恢復。

4.串音干擾

串音的作用是產生傳輸噪音，噪音能對網路上傳輸的信號造成嚴重的破壞。

5.硬體故障

硬體故障可造成軟體系統中斷和通信中斷，帶來重大損害。

6.軟體故障

通信網路軟體包含有大量的管理系統安全的部分，如果這些軟體程序受到損害，則該系統就是一個極不安全的網路系統。

7.人為因素

系統內部人員盜竊機密數據或破壞系統資源，甚至直接破壞網路系統。

8.網路規模

網路規模越大，其安全的脆弱性越大。

9.網路物理環境

這種脆弱性來源於自然災害。

10.通信系統

一般的通信系統，獲得存取權是相對簡單的，並且機會總是存在的。

一旦信息從生成和存儲的設備發送出去，它將成為對方分析研究的內容。

二、網路安全的威脅

網路所面臨的威脅大體可分為兩種：一是對網路中信息的威脅;二是對網路中設備的威脅。

造成這兩種威脅的因有很多：有人為和非人為的、惡意的和非惡意的、內部攻擊和外部攻擊等，歸結起來，主要有三種：

1.人為的無意失誤

如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。

2.人為的惡意攻擊

這是計算機網路所面臨的最大威脅，黑客的攻擊和計算機犯罪就屬於這一類。

此類攻擊又分為以下兩種：一種是主動攻擊，它是以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊，它是在不影響網路正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。

這兩種攻擊均可對計算機網路造成極大的危害，並導致機密數據的泄漏。

3.網路軟體的漏洞和後門

網路軟體不可能是百分之百的`無缺陷和漏洞的。

然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，黑客攻入網路內部就是因為安全措施不完善所招致的苦果。

另外，軟體的後門都是軟體公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦後門洞開，其造成的後果將不堪設想。

三、網路安全的技術對策

一個不設防的網路，一旦遭到惡意攻擊，將意味著一場災難。

居安思危、未雨綢繆，克服脆弱、抑制威脅，防患於未然。

網路安全是對付威脅、克服脆弱性、保護網路資源的所有措施的總和。

針對來自不同方面的安全威脅，需要採取不同的安全對策。

從法律、制度、管理和技術上採取綜合措施，以便相互補充，達到較好的安全效果。

技術措施是最直接的屏障，目前常用而有效的網路安全技術對策有如下幾種：

1.加密

加密的主要目的是防止信息的非授權泄露。

網路加密常用的方法有鏈路加密、端點加密和節點加密三種。

鏈路加密的目的是保護網路節點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。

信息加密過程是由形形色色的加密演算法來具體實施的，加密演算法有許多種，如果按照收發雙方密鑰是否相同來分類，可分為常規密碼演算法和公鑰密碼演算法，但在實際應用中人們通常將常規密碼演算法和公鑰密碼演算法結合在一起使用，這樣不僅可以實現加密，還可以實現數字簽名、鑒別等功能，有效地對抗截收、非法訪問、破壞信息的完整性、冒充、抵賴、重演等威脅。

因此，密碼技術是信息網路安全的核心技術。

2.數字簽名

數字簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充和篡改等安全問題。

數字簽名採用一種數據交換協議，使得收發數據的雙方能夠滿足兩個條件：接受方能夠鑒別發送方宣稱的身份;發送方以後不能否認他發送過數據這一事實。

數據簽名一般採用不對稱加密技術，發送方對整個明文進行加密變換，得到一個值，將其作為簽名。

接收者使用發送者的公開密鑰簽名進行解密運算，如其結果為明文，則簽名有效，證明對方省份是真實的。

3.鑒別

鑒別的目的是驗明用戶或信息的正身。

對實體聲稱的身份進行唯一地識別，以便驗證其訪問請求、或保證信息來自或到達指定的源目的。

鑒別技術可以驗證消息的完整性，有效地對抗冒充、非法訪問、重演等威脅。

按照鑒別對象的不同，鑒別技術可以分為消息源鑒別和通信雙方相互鑒別。

鑒別的方法很多;利用鑒別碼驗證消息的完整性;利用通行字、密鑰、訪問控制機制等鑒別用戶身份，防治冒充、非法訪問;當今最佳的鑒別方法是數字簽名。

利用單方數字簽名，可實現消息源鑒別，訪問身份鑒別、消息完整性鑒別。

4.訪問控制

訪問控制是網路安全防範和保護的主要對策，它的目的是防止非法訪問，訪問控制是採取各種措施保證系統資源不被非法訪問和使用。

一般採用基於資源的集中式控制、基於源和目的地址的過濾管理、以及網路簽證技術等技術實現。

5.防火牆

防火牆技術是建立在現代通信網路技術和信息安全技術基礎上的應用性安全技術，越來越多地應用於專用網路與公用網路的互連環境中。

在大型網路系統與網際網路互連的第一道屏障就是防火牆。

防火牆通過控制和監測網路之間的信息交換和訪問行為來實現對網路安全的有效管理，其基本功能為：過濾進、出網路的數據;管理進出網路的訪問行為：封堵某些禁止行為;記錄通過防火牆的信息內容和活動;對網路攻擊進行檢測和和告警。

隨著計算機技術和通信技術的發展，計算機網路將日益成為工業、農業和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。

因此，認清網路的脆弱性和潛在威脅，採取強有力的安全對策，對於保障網路的安全性將變得十分重要。

參考文獻：

[1]張世永.網路安全原理與應用.北京：科學出版社，2003.

[2]崔國平.國防信息安全戰略.北京：金城出版社，2000.

網路安全風險評估的模擬與應用【2】

摘 要 伴隨著互聯網的普及和應用，網路安全問題日益突出，在採用防火牆技術、入侵檢測和防禦技術、代理技術、信息加密技術、物理防範技術等一系列網路安全防範技術的同時，人們開始採用網路安全風險評估的方法輔助解決網路安全問題。

為提高網路安全風險評估准確率，本文提出了一種基於支持向量機的評價模型，通過模擬分析，得出採用該模型進行網路安全風險評估具有一定可行性，值得應用。

關鍵詞 網路安全 安全風險評估 模擬

當今時代是信息化時代，計算機網路應用已經深入到了社會各個領域，給人們的工作和生活帶來了空前便利。

然而與此同時，網路安全問題也日益突出，如何通過一系列切實有效的安全技術和策略保證網路運行安全已成為我們面臨的重要課題。

網路安全風險評估技術很早前就受到了信息安全領域的關注，但發展至今，該技術尚需要依賴人員能力和經驗，缺乏自主性和實效性，評價准確率較低。

本文主要以支持向量機為基礎，構建一個網路安全風險評估模型，將定性分析與定量分析相結合，通過綜合數值化分析方法對網路安全風險進行全面評價，以期為網路安全管理提供依據。

1網路安全風險評估模型的構建

網路安全風險模型質量好壞直接影響評估結果，本文主要基於支持向量機，結合具有良好泛化能力和學習能力的組合核函數，將信息系統樣本各指標特徵映射到一個高維特徵空間，構成最優分類超平面，構造網路信息安全風險二分類評估模型。

組合核函數表示為：

K(x，y)=d1Kpoly(x，y)+d2KRBF(x，y) d1+d2=1

Kpoly為多項式核函數，KRBF為徑向基核函數。

組合核函數能夠突出測試點附近局部信息，也保留了離測試點較遠處的全局信息。

本文主要選用具有良好外推能力的d=2，d=4階多項式。

另外一方面，當%l=1時，核函數局部性不強，當%l=0.5時，核函數則具有較強局部性，所以組合核函數選用支持向量機d=2，%l=0.5的組合進行測試。

2模擬研究

2.1數據集與實驗平台

構建網路安全風險評估模型前，需要在深入了解並歸納網路安全影響因素的基礎上，確定能夠反映評估對象安全屬性、反映網路應對風險水平的評估指標，根據網路安全三要素，確定資產(通信服務、計算服務、信息和數據、設備和設施)、威脅(信息篡改、信息和資源的破壞、信息盜用和轉移、信息泄露、信息丟失、網路服務中斷)和脆弱性(威脅模型、設計規范、實現、操作和配置的脆弱性)為網路安全風險評估指標，從網路層、傳輸層和物理層三方面出發，構建一個完整的網路安全評估指標體系。

將選取的網路安全風險評價指標劃分為可忽略的風險、可接受的風險、邊緣風險、不可接受的分享、災變風險五個等級。

在此之後，建立網路評估等級，將網路安全風險評估等級定為安全、基本安全、不安全、很不安全四個等級。

確定評價指標後，構造樣本數據集，即訓練樣本集和測試樣本集。

為驗證模型可行性和有效性，基於之前研究中所使用的有效的網路實驗環境，構建實驗網路，在實驗網路中設計網路中各節點的訪問控制策略，節點A為外網中的一台PC機，它代表的是目標網路外的訪問用戶;節點B網路信息伺服器，其WWW服務對A開放，Rsh服務可監聽本地WWW服務的數據流;節點C為資料庫，節點B的WWW服務可向該資料庫讀寫信息;節點D為管理機，可通過Rsh服務和Snmp服務管理節點B;節點E為個人計算機，管理員可向節點C的資料庫讀寫信息。

2.2網路安全風險評估模型實現

將數據分為訓練數據和測試數據，如果每一個訓練數據可表示為1?6維的行向量，即：

Rm=[Am，0，Am，1，Am，2，……Am，15]

那麼，整個網路信息系統安全性能指標矩陣為：

Rm=[R0，R1，R2，……Rm-1]

將這M個項目安全性能指標矩陣作為訓練數據集，利用訓練數據集對二分類評估模型進行訓練，作非線性變換使訓練數據成為線性可分，通過訓練學習，尋找支持向量，構造最優分類超平面，得出模型決策函數，然後設定最小誤差精度和最大訓練次數，當訓練精度小於預定目標誤差，或是網路迭代次數達到最大迭代次數，停止訓練，保存網路。

採用主成分析法即「指標數據標准化――計算協方差矩陣――求解特徵值和U值――確定主成分」對指標進行降維處理，消除冗餘信息，提取較少綜合指標盡可能多地將原有指標信息反映出來，提高評價准確率。

實際操作中可取前5個主成分代表16個指標體系。

在訓練好的模型中輸入經過主成分析法處理後的指標值，對待評估的網路進行評估，根據網路輸出等級值來判斷網路安全分等級。

2.3實驗結果與分析

利用訓練後的網路對測試樣本集進行測試後，得到測試結果。

結果表明，基於支持向量機的二分類評估模型能正確地對網路的安全等級進行評價，評估准確率高達100%，結果與實際更貼近，評估結果完全可以接受。

但即便如此，在日常管理中，仍需加強維護，採取適當網路安全技術防範黑客攻擊和病毒侵犯，保證網路正常運行。

3結語

總之，網路安全風險評估技術是解決網路安全風險問題行之有效的措施之一。

本文主要提出了一種基於支持向量機的二分類評估模型，通過模擬分析，得到該模型在網路安全風險的量化評估中具有一定可行性和有效性的結論。

未來，我們還應考慮已有安全措施和安全管理因素等對網路安全的影響，通過利用網路數據，進一步改進評估模型和相關評估方法，以達到完善評估效果的目的。

參考文獻

[1] 步山嶽，張有東.計算機安全技[M].高等教育出版社，2005，10.

[2] 張千里.網路安全新技術[M].人民郵電出版社，2003.

[3] 馮登國.網路安全原理與技術[M].科技出版社，2003，9.

3. 為什麼說訪問控制是網路安全的核心策略之一

訪問控制是網路安全防範和保護的主要策略，它的主要任務是保證網路資源不被非法使用和訪問。 訪問控制涉及入網訪問控制、許可權控制、目錄級安全控制、屬性安全控制、伺服器安全控制等技術手段，通過一層層的校驗驗證來控制用戶和用戶組的訪問許可權，能夠有效控制用戶對伺服器資源的訪問，從而加強網路和伺服器的安全性。

4. 對網路安全的維護的方法有哪些

包括：(1)網路實體安全：如計算機的物理條件、物理環境及設施的安全標准,計算機硬體、附屬設備及網路傳輸線路的安裝及配置等.(2)軟體安全：如保護網路系統不被非法侵入,系統軟體與應用軟體不被非法復制、篡改、不受病毒的侵害等·(3)數據安全：如保護網路信息的數據安全,不被非法存取,保護其完整、一致等；(4)網路安全管理：如運行時突發事件的安全處理等,包括採取計算機安全技術,建立安全管理制度,開展安全審計,進行風險分析等內容.
1使用網路防火牆技術
這是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備.它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態.防火牆作為一種邊界安全的手段,在網路安全保護中起著重要作用.它使得內部網路與網際網路之間或與其它外部網路之間互相隔離、限制網路互訪,用來保護內部網路.
2訪問控制
訪問控制是網路安全防範和保護的主要策略,主要任務是保證網路資源不被非法使用和訪問.一般採用基於資源的集中式控制、基於資源和目的地址的過濾管理以及網路簽證等技術來實現.目前進行網路訪問控制的方法主要有：MAc地址過濾、VLAN隔離、IEEE802．Q身份驗證、基於iP地址的訪問控制列表和防火牆控制等.
3身份認證
身份認證是任何一個安全的計算機所必需的組成部分.身份認證必須做到准確無誤地將對方辨認出來,同時還應該提供雙向的．認證,即互相證明自己的身份,網路環境下的身份認證比較復雜,因為驗證身份的雙方都是通過網路而不是直接接觸的,傳統的指紋等手段已無法使用,同時大量的黑客隨時隨地都可能嘗試向網路滲透,截獲合法用戶口令並冒名頂替,以合法身份入網,所以目前通常採用的是基於對稱密鑰加密或公開密鑰加密的方法,以及採用高科技手段的密碼技術進行身份驗證.
4反病毒軟體
即使有防火牆、身份認證和加密措施,人們仍擔心遭到病毒和黑客的攻擊,隨著計算機網路的發展,攜帶病毒和黑客程序的數據包和電子郵件越來越多,打開或運行這些文件,計算機就有可能感染病毒.假如安裝有反病毒軟體,就可以預防、檢測一些病毒和黑客程序.
5安全設置瀏覽器
設置安全級別,當心Cookies.Cookie是在瀏覽過程中被有些網站往硬碟寫入的一些數據,它們記錄下用戶的特定信息,當用戶回到這個頁面上時,這些信息(稱作狀態信息)就可以被重新利用.但是關注Cookie的原因不是因為可以重新利用這些信息,而是關心這些被重新利用信息的來源：硬碟.所以要格外小心,或者乾脆關掉這個功能.以IE5為例,步驟是：選擇.工具」菜單下的「Internet選項」,選擇其中的「安全」標簽,就可以為不同區域的Web內容指定安全設置.點擊下面的「自定義級別」,可以看到對Cookies和Java等不安全因素的使用限制.
6智能卡技術
所謂智能卡就是密鑰一種媒體,一般就象信用卡一樣,由授權用戶所持有並由該用戶賦予它一個1：1令或密碼字.該密碼與內部網路伺服器上注冊的密碼一致.當口令與身份特徵共同使用時,智能卡的保密性還是相當有效的.

5. 網路安全能幹嘛

網路安全措施

1、安全技術手段

物理措施：例如，保護網路關鍵設備（如交換機、大型計算機等），制定嚴格的網路安全規章 制度，採取防輻射、防火以及安裝不間斷電源（UPS）等措施。

訪問控制：對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的許可權，控制網路設備配置的許可權等等。

數據加密：加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒，安裝網路防病毒系統。

網路隔離：網路隔離有兩種方式，一種是採用隔離卡來實現的，一種是採用網路安全隔離網閘實現的。隔離卡主要用於對單台機器的隔離，網閘主要用於對於整個網路的隔離。

其他措施：其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。近年來，圍繞網路安全 問題提出了許多解決辦法，例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加 密，到達目的地後再解密還原為原始數據，目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對 網路的隔離和限制訪問等方法來控制網路的訪問許可權。

2、安全防範意識

擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。

3、主機安全檢查

要保證網路安全，進行網路安全建設，第一步首先要全面了解系統，評估系統安全性，認識到自己 的風險所在，從而迅速、准確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機 安全檢查工具，徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性，一鍵操作即可對內網計 算機進行全面的安全保密檢查及精準的安全等級判定，並對評測系統進行強有力的分析處置和修復。

6. 計算機安全服務中訪問控制的主要功能是什麼

訪問就是對計算機資源進行某種操作的能力，訪問控制就是通過某種方式對這種能力明確的允許或禁止的方法，基於計算機的訪問控制被稱為邏輯訪問控制，邏輯訪問控制不僅僅可以規定誰或什麼程度或設備可以訪問特定的系統資源，還可以規定訪問的類型。

這些控制可以內建在操作系統中，可以建立在應用程序或主要的功能上，可以建立在數據倉庫管理系統或通信系統中，也可以通過安裝專門的安全程序包進行部署，邏輯訪問控制可以部署在受保護的計算機系統內部，也可以部署在外部設備中。

(6)網路安全訪問控制能夠實現擴展閱讀：

注意事項：

網路實體安全：如計算機的物理條件、物理環境及設施的安全標准，計算機硬體、附屬設備及網路傳輸線路的安裝及配置等。

軟體安全：如保護網路系統不被非法侵入，系統軟體與應用軟體不被非法復制、篡改、不受病毒的侵害等。

數據安全：如保護網路信息的數據安全，不被非法存取，保護其完整、一致等。

網路安全管理：如運行時突發事件的安全處理等，包括採取計算機安全技術，建立安全管理制度，開展安全審計，進行風險分析等內容。

7. 計算機系統和網路中常用的兩種訪問控制方式是什麼

訪問控制分為物理訪問控制和邏輯訪問控制；物理訪問控制，如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求，而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。

本文操作環境：windows7系統，DELL G3電腦

訪問控制分為什麼？

訪問控制可以分為兩個層次：物理訪問控制和邏輯訪問控制。 物理訪問控制如符合標准規定的用戶、設備、門、鎖和安全環境等方面的要求，而邏輯訪問控制則是在數據、應用、系統、網路和許可權等層面進行實現的。

訪問控制技術，指防止對任何資源進行未授權的訪問，從而使計算機系統在合法的范圍內使用。意指用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問，或限制對某些控制功能的使用的一種技術，如UniNAC網路准入控制系統的原理就是基於此技術之上。

訪問控制通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。

訪問控制的概念及要素

訪問控制（Access Control）指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段。通常用於系統管理員控制用戶對伺服器、目錄、文件等網路資源的訪問。訪問控制是系統保密性、完整性、可用性和合法使用性的重要基礎，是網路安全防範和資源保護的關鍵策略之一，也是主體依據某些控制策略或許可權對客體本身或其資源進行的不同授權訪問。

訪問控制的主要目的是限制訪問主體對客體的訪問，從而保障數據資源在合法范圍內得以有效使用和管理。為了達到上述目的，訪問控制需要完成兩個任務：識別和確認訪問系統的用戶、決定該用戶可以對某一系統資源進行何種類型的訪問。

訪問控制包括三個要素：主體、客體和控制策略。

（1）主體S（Subject）。是指提出訪問資源具體請求。是某一操作動作的發起者，但不一定是動作的執行者，可能是某一用戶，也可以是用戶啟動的進程、服務和設備等。

（2）客體O（Object）。是指被訪問資源的實體。所有可以被操作的信息、資源、對象都可以是客體。客體可以是信息、文件、記錄等集合體，也可以是網路上硬體設施、無限通信中的終端，甚至可以包含另外一個客體。

（3）控制策略A（Attribution）。是主體對客體的相關訪問規則集合，即屬性集合。訪問策略體現了一種授權行為，也是客體對主體某些操作行為的默認。

訪問控制的功能及原理

訪問控制的主要功能包括：保證合法用戶訪問受權保護的網路資源，防止非法的主體進入受保護的網路資源，或防止合法用戶對受保護的網路資源進行非授權的訪問。訪問控制首先需要對用戶身份的合法性進行驗證，同時利用控制策略進行選用和管理工作。當用戶身份和訪問許可權驗證之後，還需要對越權操作進行監控。因此，訪問控制的內容包括認證、控制策略實現和安全審計。

（1）認證。包括主體對客體的識別及客體對主體的檢驗確認。

（2）控制策略。通過合理地設定控制規則集合，確保用戶對信息資源在授權范圍內的合法使用。既要確保授權用戶的合理使用，又要防止非法用戶侵權進入系統，使重要信息資源泄露。同時對合法用戶，也不能越權行使許可權以外的功能及訪問范圍。

（3）安全審計。系統可以自動根據用戶的訪問許可權，對計算機網路環境下的有關活動或行為進行系統的、獨立的檢查驗證，並做出相應評價與審計。

8. 網路安全的核心是信息安全

網路安全的核心是信息安全

網路安全的核心是信息安全。網路信息安全與保密主要是指保護目標網路信息系統，使其沒有危險，網路信息安全里每個環節每個點都很重要。下面來看看網路安全的核心是信息安全。

網路安全的核心是信息安全1

網路安全核心是網路的信息安全,確保網路信息的可靠傳輸,不被竊取與篡改。網路安全的基本功能是要保證網路系統的正常運行,具有良好的可用性。

網路信息安全的核心是通過計算機、網路技術、密碼技術和安全技術，保護在公用網路信息系統中傳輸、交換和存儲消息的保密性、完整性、真實性、可靠性、可用性、不可抵賴性和可控性等。其中最核心的是信息加密技術。

關於網路安全的兩個觀點：

一）攻擊方式決定了網路安全技術的發展方向；

二）目前階段防守方大多抵擋不住來自黑客的攻擊（我們姑且以進到內網為衡量標准）。這兩個觀點尤其第二個觀點帶有明確的實效性，隨著技術的不斷更新迭代，若干年後可能就會發生改變，只是在目前是比較明顯的。如果讓我給當前關鍵信息基礎設施的單位的防護情況打個分，在滿分100的情況下，也就打個50分離及格還差一點。

深刻理解一個概念：攻擊者關心的永遠不是你的IP資產，而是你IP資產上對應的漏洞。漏洞也不過是一個入口，至於是破壞還是偷取數據那是以後可以從長計議的事情，至少要先打下一個入口。漏洞也不一定非得是0day，一個1day在時間差達到一個小時的情況下基本就能結束戰鬥了。

在一段不短的時間內，攻防雙方表面上達成了一定的平衡：你攻擊我主要的伺服器入口我就盯好主要的入口，你用漏洞掃描器半個小時掃描一個IP，我也用漏洞掃描器半個小時檢查一個IP，所以大家是對等的貼身肉搏，不分伯仲。因為攻擊者確實也沒有特別好的方法能夠比防守方更多更快的發現薄弱點。

當時大家的邏輯都是：針對IP列表不定期的用全漏洞庫去匹配。漏洞掃描器得到了攻防兩端的共同認可是有它的道理的。

網路安全的核心是信息安全2

網路信息安全里每個環節每個點都很重要。

但非要說哪個是核心，核心只有一個的話，那就是密碼技術是網路信息安全與保密的核心和關鍵。

網路信息安全與保密主要是指保護目標網路信息系統，使其沒有危險、不出事故、不受威脅。

網路信息安全與保密的目標主要表現在系統的保密性、完整性、真實性、可靠性、可用性、不可抵賴性等方面。

而密碼學是研究如何隱密地傳遞信息的學科。在現代特別指對信息以及其傳輸的數學性研究，常被認為是數學和計算機科學的.分支，和資訊理論也密切相關。密碼學是關干如何在敵人存在的環境中通訊，自工程學的角度，這相當於密碼學與純數學的異同。密碼學是信息安全等相關議題，如認證、訪問控制的核心。

密碼學的首要目是隱藏信息的涵義，並不是將隱藏信息的存在。密碼學也促進了計算機科學，特別是在干電腦與網路安全所使用的技術，如訪問控制與信息的機密性。

密碼學已被應用在日常生活:包括自動櫃員機的晶元卡、電腦使用者存取密碼、各種網站ssl證書，加密虛擬隧道專網，電子商務平台等等。

網路安全的核心是信息安全3

設備接入安全

視頻專網的感知層需接入大量攝像頭等前端設備，數量眾多且地點分布廣泛。因此，設備安全主要考慮從前端感知節點到網關節點之間的安全問題，應從前端、終端和主機三個方面採取安全措施。

前端方面，由於攝像頭等前端設備功能單一、計算能力弱、缺乏安全防護能力，當前端設備出現異常時管理員往往無法做出及時有效的處理，會面臨數據泄露風險，惡意軟體感染等。

因此，前端安全應建立接入數據協議白名單准入機制、前端設備接入認證機制，採取主動掃描、手工設置和實時檢測等有效手段，及時發現非法接入的未知、仿冒、違規設備，並基於協議白名單，對非法接入數據進行識別和過濾， 從而實現對非法惡意行為的識別、告警和實時阻斷 。

終端方面，為強化對系統運行狀況的監控， 減少不必要的系統服務，增強系統自身對各類攻擊、病毒的抵禦能力，提高終端系統整體安全性，可採取系統安全加固、安裝殺毒軟體、使用上網行為管理、部署准入控制設備等措施， 降低系統自身的安全風險。同時，由於管理員是終端的主要使用者，應通過制定使用規范等安全管理制度，加強對終端使用人員的安全管理。

主機方面，視頻專網的主機主要是指視頻監控平台中各視頻管理系統，其安全防護的目標是保障各視頻管理系統在數據存儲和處理過程中的保密性、完整性和可用性 。由於這些主機系統存在安全漏洞、缺乏攻擊抵禦能力、缺少漏洞修復能力以及人為誤操作等安全風險， 因此，主機安全防護不僅要考慮硬體、固件、系統軟體的自身安全，還需要考慮採取適當的安全技術和安全管理措施。

網路安全

視頻專網的網路安全主要聚焦於網路邊界安全和網路傳輸安全，具體可以從邊界訪問控制、互聯網接入安全、鏈路安全和數據安全等方面採取安全措施。

邊界訪問控制主要是通過部署下一代防火牆、安全網關等設備，實現網路縱深防護，是實現可信網路的首要前提。此外，應從源 IP 地址、源埠、目的 IP 地址、目的埠和協議的邊界安全防護五元組策略的角度進行有效建設， 限制對網路的非法訪問，並對目標網路系統漏洞、協議弱點、惡意攻擊、異常流量、病毒蠕蟲、間諜軟體等網路威脅進行一體化深度防禦 。

由於互聯網中存在大量的攻擊、病毒等網路安全威脅，視頻專網在接入互聯網時需要在視頻專網邊界加強安全防護措施。為防止越權訪問和非法攻擊，應部署防火牆等邊界防護產品並按照嚴格的安全策略和安全規則進行檢測過濾；同時針對互聯網中各種攻擊行為，部署入侵防禦設備和抗 DDoS 攻擊設備，重點監控和檢測網路的攻擊行為及防禦網路應用攻擊。

保障鏈路安全是確保專網網路安全傳輸的重要基礎。數據傳輸過程中若發生網路設備或者鏈路故障，極易造成視頻傳輸中斷，無法滿足視頻實時監控的要求。因此，應採用硬體冗餘方式對數據鏈路和網路設備進行備份冗餘， 在發生物理故障時確保視頻數據傳輸不中斷。

數據安全性主要強調視頻數據本身的安全性保障。從數據機密性、數據完整性和數據可用性的安全目標出發，應採取適當的安全技術措施以確保數據傳輸和數據存儲的安全性。

其中，為更好地應對數據傳輸過程中可能涉及的數據監聽竊取等安全風險，應採取基於 Https 的Web 管理平台訪問和基於加 / 解密機的加密傳輸等加密技術應用交互過程、數據傳輸過程對數據進行加密；數據存儲方面則需要對數據相關設備操作的管理員實施訪問控制，並通過硬體冗餘方式實現數據存儲安全。

9. 如何理解網路安全策略中的訪問控制策略

訪問控制是網路安全防範和保護的主要策略，它的主要任務是保證網路資源不被非法使用和非常訪問。
它主要由入網訪問控制、網路的許可權控制、目錄級安全控制、屬性安全控制、網路伺服器安全控制、網路檢測和鎖定控制和網路埠和結點的安全控制組成。

10. 常用網路安全技術有哪些

互聯網流行的現在，在方便大眾的同時，也有很多損害大眾的東西出現，比如木馬病毒、黑客、惡意軟體等等，那麼，計算機是如何進行防範的呢?其實是運用了網路安全技術。我在這里給大家介紹常見的網路安全技術，希望能讓大家有所了解。

常用網路安全技術

1、數據加密技術

數據加密技術是最基本的網路安全技術，被譽為信息安全的核心，最初主要用於保證數據在存儲和傳輸過程中的保密性。它通過變換和置換等各種 方法 將被保護信息置換成密文，然後再進行信息的存儲或傳輸，即使加密信息在存儲或者傳輸過程為非授權人員所獲得，也可以保證這些信息不為其認知，從而達到保護信息的目的。該方法的保密性直接取決於所採用的密碼演算法和密鑰長度。

計算機網路應用特別是電子商務應用的飛速發展，對數據完整性以及身份鑒定技術提出了新的要求，數字簽名、身份認證就是為了適應這種需要在密碼學中派生出來的新技術和新應用。數據傳輸的完整性通常通過數字簽名的方式來實現，即數據的發送方在發送數據的同時利用單向的Hash函數或者 其它 信息文摘演算法計算出所傳輸數據的消息文摘，並將該消息文摘作為數字簽名隨數據一同發送。接收方在收到數據的同時也收到該數據的數字簽名，接收方使用相同的演算法計算出接收到的數據的數字簽名，並將該數字簽名和接收到的數字簽名進行比較，若二者相同，則說明數據在傳輸過程中未被修改，數據完整性得到了保證。常用的消息文摘演算法包括SHA、MD4和MD5等。

根據密鑰類型不同可以將現代密碼技術分為兩類：對稱加密演算法(私鑰密碼體系)和非對稱加密演算法(公鑰密碼體系)。在對稱加密演算法中，數據加密和解密採用的都是同一個密鑰，因而其安全性依賴於所持有密鑰的安全性。對稱加密演算法的主要優點是加密和解密速度快，加密強度高，且演算法公開，但其最大的缺點是實現密鑰的秘密分發困難，在大量用戶的情況下密鑰管理復雜，而且無法完成身份認證等功能，不便於應用在網路開放的環境中。目前最著名的對稱加密演算法有數據加密標准DES和歐洲數據加密標准IDEA等。

在公鑰密碼體系中，數據加密和解密採用不同的密鑰，而且用加密密鑰加密的數據只有採用相應的解密密鑰才能解密，更重要的是從加密密碼來求解解密密鑰在十分困難。在實際應用中，用戶通常將密鑰對中的加密密鑰公開(稱為公鑰)，而秘密持有解密密鑰(稱為私鑰)。利用公鑰體系可以方便地實現對用戶的身份認證，也即用戶在信息傳輸前首先用所持有的私鑰對傳輸的信息進行加密，信息接收者在收到這些信息之後利用該用戶向外公布的公鑰進行解密，如果能夠解開，說明信息確實為該用戶所發送，這樣就方便地實現了對信息發送方身份的鑒別和認證。在實際應用中通常將公鑰密碼體系和數字簽名演算法結合使用，在保證數據傳輸完整性的同時完成對用戶的身份認證。

目前的公鑰密碼演算法都是基於一些復雜的數學難題，例如目前廣泛使用的RSA演算法就是基於大整數因子分解這一著名的數學難題。目前常用的非對稱加密演算法包括整數因子分解(以RSA為代表)、橢園曲線離散對數和離散對數(以DSA為代表)。公鑰密碼體系的優點是能適應網路的開放性要求，密鑰管理簡單，並且可方便地實現數字簽名和身份認證等功能，是目前電子商務等技術的核心基礎。其缺點是演算法復雜，加密數據的速度和效率較低。因此在實際應用中，通常將對稱加密演算法和非對稱加密演算法結合使用，利用DES或者IDEA等對稱加密演算法來進行大容量數據的加密，而採用RSA等非對稱加密演算法來傳遞對稱加密演算法所使用的密鑰，通過這種方法可以有效地提高加密的效率並能簡化對密鑰的管理。

2、防火牆技術

盡管近年來各種網路安全技術在不斷涌現，但到目前為止防火牆仍是網路 系統安全 保護中最常用的技術。據公安部計算機信息安全產品質量監督檢驗中心對2000年所檢測的網路安全產品的統計，在數量方面，防火牆產品占第一位，其次為網路安全掃描和入侵檢測產品。

防火牆系統是一種網路安全部件，它可以是硬體，也可以是軟體，也可能是硬體和軟體的結合，這種安全部件處於被保護網路和其它網路的邊界，接收進出被保護網路的數據流，並根據防火牆所配置的訪問控制策略進行過濾或作出 其它操 作，防火牆系統不僅能夠保護網路資源不受外部的侵入，而且還能夠攔截從被保護網路向外傳送有價值的信息。防火牆系統可以用於內部網路與Internet之間的隔離，也可用於內部網路不同網段的隔離，後者通常稱為Intranet防火牆。

目前的防火牆系統根據其實現的方式大致可分為兩種，即包過濾防火牆和應用層網關。包過濾防火牆的主要功能是接收被保護網路和外部網路之間的數據包，根據防火牆的訪問控制策略對數據包進行過濾，只准許授權的數據包通行。防火牆管理員在配置防火牆時根據安全控制策略建立包過濾的准則，也可以在建立防火牆之後，根據安全策略的變化對這些准則進行相應的修改、增加或者刪除。每條包過濾的准則包括兩個部分：執行動作和選擇准則，執行動作包括拒絕和准許，分別表示拒絕或者允許數據包通行;選擇准則包括數據包的源地址和目的地址、源埠和目的埠、協議和傳輸方向等。建立包過濾准則之後，防火牆在接收到一個數據包之後，就根據所建立的准則，決定丟棄或者繼續傳送該數據包。這樣就通過包過濾實現了防火牆的安全訪問控制策略。

應用層網關位於TCP/IP協議的應用層，實現對用戶身份的驗證，接收被保護網路和外部之間的數據流並對之進行檢查。在防火牆技術中，應用層網關通常由代理伺服器來實現。通過代理伺服器訪問Internet網路服務的內部網路用戶時，在訪問Internet之前首先應登錄到代理伺服器，代理伺服器對該用戶進行身份驗證檢查，決定其是否允許訪問Internet，如果驗證通過，用戶就可以登錄到Internet上的遠程伺服器。同樣，從Internet到內部網路的數據流也由代理伺服器代為接收，在檢查之後再發送到相應的用戶。由於代理伺服器工作於Internet應用層，因此對不同的Internet服務應有相應的代理伺服器，常見的代理伺服器有Web、Ftp、Telnet代理等。除代理伺服器外，Socks伺服器也是一種應用層網關，通過定製客戶端軟體的方法來提供代理服務。

防火牆通過上述方法，實現內部網路的訪問控制及其它安全策略，從而降低內部網路的安全風險，保護內部網路的安全。但防火牆自身的特點，使其無法避免某些安全風險，例如網路內部的攻擊，內部網路與Internet的直接連接等。由於防火牆處於被保護網路和外部的交界，網路內部的攻擊並不通過防火牆，因而防火牆對這種攻擊無能為力;而網路內部和外部的直接連接，如內部用戶直接撥號連接到外部網路，也能越過防火牆而使防火牆失效。

3、網路安全掃描技術

網路安全掃描技術是為使系統管理員能夠及時了解系統中存在的安全漏洞，並採取相應防範 措施 ，從而降低系統的安全風險而發展起來的一種安全技術。利用安全掃描技術，可以對區域網絡、Web站點、主機 操作系統 、系統服務以及防火牆系統的安全漏洞進行掃描，系統管理員可以了解在運行的網路系統中存在的不安全的網路服務，在操作系統上存在的可能導致遭受緩沖區溢出攻擊或者拒絕服務攻擊的安全漏洞，還可以檢測主機系統中是否被安裝了竊聽程序，防火牆系統是否存在安全漏洞和配置錯誤。

(1) 網路遠程安全掃描

在早期的共享網路安全掃描軟體中，有很多都是針對網路的遠程安全掃描，這些掃描軟體能夠對遠程主機的安全漏洞進行檢測並作一些初步的分析。但事實上，由於這些軟體能夠對安全漏洞進行遠程的掃描，因而也是網路攻擊者進行攻擊的有效工具，網路攻擊者利用這些掃描軟體對目標主機進行掃描，檢測目標主機上可以利用的安全性弱點，並以此為基礎實施網路攻擊。這也從另一角度說明了網路安全掃描技術的重要性，網路管理員應該利用安全掃描軟體這把"雙刃劍"，及時發現網路漏洞並在網路攻擊者掃描和利用之前予以修補，從而提高網路的安全性。

(2) 防火牆系統掃描

防火牆系統是保證內部網路安全的一個很重要的安全部件，但由於防火牆系統配置復雜，很容易產生錯誤的配置，從而可能給內部網路留下安全漏洞。此外，防火牆系統都是運行於特定的操作系統之上，操作系統潛在的安全漏洞也可能給內部網路的安全造成威脅。為解決上述問題，防火牆安全掃描軟體提供了對防火牆系統配置及其運行操作系統的安全檢測，通常通過源埠、源路由、SOCKS和TCP系列號來猜測攻擊等潛在的防火牆安全漏洞，進行模擬測試來檢查其配置的正確性，並通過模擬強力攻擊、拒絕服務攻擊等來測試操作系統的安全性。

(3) Web網站掃描

Web站點上運行的CGI程序的安全性是網路安全的重要威脅之一，此外Web伺服器上運行的其它一些應用程序、Web伺服器配置的錯誤、伺服器上運行的一些相關服務以及操作系統存在的漏洞都可能是Web站點存在的安全風險。Web站點安全掃描軟體就是通過檢測操作系統、Web伺服器的相關服務、CGI等應用程序以及Web伺服器的配置， 報告 Web站點中的安全漏洞並給出修補措施。Web站點管理員可以根據這些報告對站點的安全漏洞進行修補從而提高Web站點的安全性。

(4) 系統安全掃描

系統安全掃描技術通過對目標主機的操作系統的配置進行檢測，報告其安全漏洞並給出一些建議或修補措施。與遠程網路安全軟體從外部對目標主機的各個埠進行安全掃描不同，系統安全掃描軟體從主機系統內部對操作系統各個方面進行檢測，因而很多系統掃描軟體都需要其運行者具有超級用戶的許可權。系統安全掃描軟體通常能夠檢查潛在的操作系統漏洞、不正確的文件屬性和許可權設置、脆弱的用戶口令、網路服務配置錯誤、操作系統底層非授權的更改以及攻擊者攻破系統的跡象等。