1、<p>　　網(wǎng)絡安全現(xiàn)狀及發(fā)展趨勢</p><p><b>　　作者：XXX</b></p><p>　　【摘 要】 網(wǎng)絡安全的解決是一個綜合性問題，涉及到諸多因素，包括技術、產(chǎn)品和管理等。本文主要研究了信息安全現(xiàn)狀及發(fā)展趨勢，信現(xiàn)代息系統(tǒng)中的信息安全其核心問題是密碼理論及其應用，其基礎是可信信息系統(tǒng)的構作與評估。隨著信息技術的發(fā)展與應用，信息安全的內涵在

2、不斷的延伸，從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認性，進而又發(fā)展為"攻（攻擊）、防（防范）、測（檢測）、控（控制）、管（管理）、評（評估）"等多方面的基礎理論和實施技術。其中防火墻技術現(xiàn)今人們很關注，它是在市場上比較流行，而又能夠代表未來發(fā)展方向的安全產(chǎn)品。</p><p>　　【關鍵詞】網(wǎng)絡安全 發(fā)展趨勢 密碼理論 防火墻技術</p><p>

3、<b>　　第一章引言</b></p><p>　　理論研究而言，一些關鍵的基礎理論需要保密，因為從基礎理論研究到實際應用的距離很短?，F(xiàn)代信息系統(tǒng)中的信息安全其核心問題是密碼理論及其應用，其基礎是可信信息系統(tǒng)的構作與評估。隨著計算機技術與網(wǎng)絡通信技術以及信息產(chǎn)業(yè)的高速發(fā)展，介入Internet的個人和單位主機數(shù)量快速增長，尤其是計算機再政府、國防、金融、公安、和商業(yè)等部門的廣泛應用，社會對計

4、算機的依賴越來越大，而計算機系統(tǒng)的安全一旦受到破壞，不僅會導致嚴重的社會混亂，也會帶來巨大的經(jīng)濟損失。世界重要發(fā)達郭嘉每年因計算機犯罪所造成的經(jīng)濟損失令人吃驚，遠遠超過了普通經(jīng)濟犯罪的損失。因此，確保計算機系統(tǒng)的安全已成為世界關注的社會問題，信息安全已成為信息科 學的熱點課題，信息安全專業(yè)也受到了社會各界的普遍關注。</p><p>　　總的來說，目前在信息安全領域人們所關注的焦點主要有以下幾方面：</p&

5、gt;<p>　　1） 密碼理論與技術；</p><p>　　2） 安全協(xié)議理論與技術；</p><p>　　3） 安全體系結構理論與技術；</p><p>　　4） 信息對抗理論與技術；</p><p>　　5） 網(wǎng)絡安全與安全產(chǎn)品。</p><p><b>　　6）防火墻技術</b&g

6、t;</p><p>　　第二章 信息安全領域各項研究現(xiàn)狀及發(fā)展趨勢</p><p>　　1、安全協(xié)議理論與技術研究現(xiàn)狀及發(fā)展趨勢</p><p>　　安全協(xié)議的研究主要包括兩方面內容，即安全協(xié)議的安全性分析方法研究和各種實用安全協(xié)議的設計與分析研究。安全協(xié)議的安全性分析方法主要有兩類，一類是攻擊檢驗方法，一類是形式化分析方法，其中安全協(xié)議的形式化分析方法是安全協(xié)議

7、研究中最關鍵的研究問題之一，它的研究始于80年代初，目前正處于百花齊放，充滿活力的狀態(tài)之中。許多一流大學和公司的介入，使這一領域成為研究熱點。隨著各種有效方法及思想的不斷涌現(xiàn)，這一領域在理論上正在走向成熟。</p><p>　　從大的方面講，在協(xié)議形式化分析方面比較成功的研究思路可以分為三種：第一種思路是基于推理知識和信念的模態(tài)邏輯；第二種思路是基于狀態(tài)搜索工具和定理證明技術；第三種思路是基于新的協(xié)議模型發(fā)展證明

8、正確性理論。沿著第一種思路，Brackin推廣了GNY邏輯并給出了該邏輯的高階邏輯(HOL)理論，之后利用HOL理論自動證明在該系統(tǒng)內與安全相關的命題；Kindred則提出安全協(xié)議的理論生成，解決更廣的問題：給定一個邏輯和協(xié)議，生成協(xié)議的整個理論的有限表示。盡管也有人提出不同的認證邏輯來檢查不同的攻擊，但是與前兩項工作相比是不重要的。第二種思路是近幾年研究的焦點，大量一般目的的形式化方法被用于這一領域，取得了大量成果，突出的成果有：Lo

9、we使用進程代數(shù)CSP發(fā)現(xiàn)了Needham-Schroeder公鑰協(xié)議的十七年未發(fā)現(xiàn)的漏洞；Schneider用進程代數(shù)CSP歸范了大量的安全性質；基于進程代數(shù)CSP ，Lowe和Roscoe分別發(fā)展了不同的理論和方法把大系統(tǒng)中協(xié)議安全性質的研究約化為小系統(tǒng)中協(xié)議安全性質的研究；Abadi及 Gordon發(fā)展推演密碼協(xié)議的Spi演算，J.Mitchell等把Spi演算與</p><p>　　目前，已經(jīng)提出了大量的

10、實用安全協(xié)議，有代表的有：電子商務協(xié)議，IPSec協(xié)議，TLS協(xié)議，簡單網(wǎng)絡管理協(xié)議（SNMP），PGP協(xié)議，PEM協(xié)議，S-HTTP協(xié)議，S/MIME協(xié)議等。實用安全協(xié)議的安全性分析特別是電子商務協(xié)議，IPSec協(xié)議，TLS協(xié)議是當前協(xié)議研究中的另一個熱點。</p><p>　　典型的電子商務協(xié)議有SET協(xié)議，iKP協(xié)議等。另外，值得注意的是Kailar邏輯，它是目前分析電子商務協(xié)議的最有效的一種形式化方法。&

11、lt;/p><p>　　為了實現(xiàn)安全IP，Internet工程任務組IETF于1994年開始了一項IP安全工程，專門成立了IP安全協(xié)議工作組IPSEC，來制定和推動一套稱為IPSec的IP安全協(xié)議標準。其目標就是把安全集成到IP層，以便對Internet的安全業(yè)務提供底層的支持。IETF于1995年8月公布了一系列關于IPSec的建議標準。IPSec適用于IPv4和下一代IP協(xié)議IPv6，并且是IPv6自身必備的安全

12、機制。但由于IPSec還比較新，正處于研究發(fā)展和完善階段。</p><p>　　在安全協(xié)議的研究中，除理論研究外，實用安全協(xié)議研究的總趨勢是走向標準化。我國學者雖然在理論研究方面和國際上已有協(xié)議的分析方面做了一些工作，但在實際應用方面與國際先進水平還有一定的差距，當然，這主要是由于我國的信息化進程落后于先進國家的原因。</p><p>　　2．密碼理論與技術研究現(xiàn)狀及發(fā)展趨勢</p&

13、gt;<p>　　密碼理論與技術主要包括兩部分，即基于數(shù)學的密碼理論與技術（包括公鑰密碼、分組密碼、序列密碼、認證碼、數(shù)字簽名、Hash函數(shù)、身份識別、密鑰管理、PKI技術等）和非數(shù)學的密碼理論與技術（包括信息隱形，量子密碼，基于生物特征的識別理論與技術）。 公鑰密碼主要用于數(shù)字簽名和密鑰分配。當然，數(shù)字簽名和密鑰分配都有自己的研究體系，形成了各自的理論框架。目前數(shù)字簽名的研究內容非常豐富，包括普通簽名和特殊簽名。特殊簽

14、名有盲簽名，代理簽名，群簽名，不可否認簽名，公平盲簽名，門限簽名，具有消息恢復功能的簽名等，它與具體應用環(huán)境密切相關。顯然，數(shù)字簽名的應用涉及到法律問題，美國聯(lián)邦政府基于有限域上的離散對數(shù)問題制定了自己的數(shù)字簽名標準（DSS），部分州已制定了數(shù)字簽名法。法國是第一個制定數(shù)字簽名法的國家，其他國家也正在實施之中。在密鑰管理方面，國際上都有一些大的舉動，密鑰管理中還有一種很重要的技術就是秘密共享技術，它是一種分割秘密的技術，目的是阻止秘密過

15、于集中，我國學者在這些方面也做了一些跟蹤研究，發(fā)表了很多論文，按照X.509標準實現(xiàn)了一些CA。但沒有聽說過哪個部門有制定數(shù)字簽名法的意向。目前人們關注</p><p>　　認證碼是一個理論性比較強的研究課題，自80年代后期以來，在其構造和界的估計等方面已經(jīng)取得了長足的發(fā)展，我國學者在這方面的研究工作也非常出色，影響較大。目前這方面的理論相對比較成熟，很難有所突破。另外，認證碼的應用非常有限，幾乎停留在理論研究上

16、，已不再是密碼學中的研究熱點。</p><p>　　序列密碼主要用于政府、軍方等國家要害部門，盡管用于這些部門的理論和技術都是保密的，但由于一些數(shù)學工具（比如代數(shù)、數(shù)論、概率等）可用于研究序列密碼，其理論和技術相對而言比較成熟。從八十年代中期到九十年代初，序列密碼的研究非常熱，在序列密碼的設計與生成以及分析方面出現(xiàn)了一大批有價值的成果，我國學者在這方面也做了非常優(yōu)秀的工作。雖然，近年來序列密碼不是一個研究熱點，但

17、有很多有價值的公開問題需要進一步解決，比如自同步流密碼的研究，有記憶前饋網(wǎng)絡密碼系統(tǒng)的研究，混沌序列密碼和新研究方法的探索等。另外，雖然沒有制定序列密碼標準，但在一些系統(tǒng)中廣泛使用了序列密碼比如RC4，用于存儲加密。事實上，歐洲的NESSIE計劃中已經(jīng)包括了序列密碼標準的制定，這一舉措有可能導致序列密碼研究熱。</p><p>　　國外目前不僅在密碼基礎理論方面的研究做的很好，而且在實際應用方面也做的非常好。制定

18、了一系列的密碼標準，特別規(guī)范。算法的征集和討論都已經(jīng)公開化，但密碼技術作為一種關鍵技術，各國都不會放棄自主權和控制權，都在爭奪霸權地位。我國在密碼基礎理論的某些方面的研究做的很好，但在實際應用方面與國外的差距較大，沒有自己的標準，也不規(guī)范。</p><p>　　目前國際上對非數(shù)學的密碼理論與技術（包括信息隱形，量子密碼，基于生物特征的識別理論與技術等）非常關注，討論也非?；钴S。信息隱藏將在未來網(wǎng)絡中保護信息免于破

19、壞起到重要作用，信息隱藏是網(wǎng)絡環(huán)境下把機密信息隱藏在大量信息中不讓對方發(fā)覺的一種方法。特別是圖象疊加、數(shù)字水印、潛信道、隱匿協(xié)議等的理論與技術的研究已經(jīng)引起人們的重視。1996年以來，國際上召開了多次有關信息隱藏的專業(yè)研討會?；谏锾卣鳎ū热缡中?、指紋、語音、視網(wǎng)膜、虹膜、臉形、DNA等）的識別理論與技術已有所發(fā)展，形成了一些理論和技術，也形成了一些產(chǎn)品，這類產(chǎn)品往往由于成本高而未被廣泛采用。1969年美國哥倫比亞大學的Wiesner

20、創(chuàng)造性地提出了共軛編碼的概念，遺憾的是他的這一思想當時沒有被人們接受。十年后，源于共軛編碼概念的量子密碼理論與技術才取得了令人驚異的進步，已先后在自由空間和商用光纖中完成了單光子密鑰交換協(xié)議，英國BT實驗室通過30公里的光纖信道實現(xiàn)了每秒20k比特的密鑰分配。近年來，英、美、日等國的許多大學和研究機構競相投入到量子密碼的研究之中，更大的計劃在歐洲進行。到目前為止，主要有三大類量子密碼實現(xiàn)方案：一是基于單</p><p

21、>　　密碼技術特別是加密技術是信息安全技術中的核心技術，國家關鍵基礎設施中不可能引進或采用別人的加密技術，只能自主開發(fā)。目前我國在密碼技術的應用水平方面與國外還有一定的差距。國外的密碼技術必將對我們有一定的沖擊力，特別是在加入WTO組織后這種沖擊力只會有增無減。有些做法必須要逐漸與國際接軌，不能再采用目前這種關門造車的做法，因此，我們必須要有我們自己的算法，自己的一套標準，自己的一套體系，來對付未來的挑戰(zhàn)。實用密碼技術的基礎是密碼

22、基礎理論，沒有好的密碼理論不可能有好的密碼技術、也不可能有先進的、自主的、創(chuàng)新的密碼技術。因此，首先必須持之以恒地堅持和加強密碼基礎理論研究，與國際保持同步，這方面的工作必須要有政府的支持和投入。另一方面，密碼理論研究也是為了應用，沒有應用的理論是沒有價值的。我們應在現(xiàn)有理論和技術基礎上充分吸收國外先進經(jīng)驗形成自主的、創(chuàng)新的密碼技術以適應國民經(jīng)濟的發(fā)展。</p><p>　　特別值得一提的是歐洲大計劃NESSIE

23、工程必將大大推動密碼學的研究和發(fā)展，我們應予以密切關注。</p><p>　　3．安全體系結構理論與技術研究現(xiàn)狀及發(fā)展趨勢</p><p>　　安全體系結構理論與技術主要包括：安全體系模型的建立及其形式化描述與分析，安全策略和機制的研究，檢驗和評估系統(tǒng)安全性的科學方法和準則的建立，符合這些模型、策略和準則的系統(tǒng)的研制（比如安全操作系統(tǒng)，安全數(shù)據(jù)庫系統(tǒng)等）。</p><p

24、>　　我國在系統(tǒng)安全的研究與應用方面與先進國家和地區(qū)存在很大差距。近幾年來，在我國進行了安全操作系統(tǒng)、安全數(shù)據(jù)庫、多級安全機制的研究，但由于自主安全內核受控于人，難以保證沒有漏洞。而且大部分有關的工作都以美國1985年的TCSEC標準為主要參照系。開發(fā)的防火墻、安全路由器、安全網(wǎng)關、黑客入侵檢測系統(tǒng)等產(chǎn)品和技術，主要集中在系統(tǒng)應用環(huán)境的較高層次上，在完善性、規(guī)范性、實用性上還存在許多不足，特別是在多平臺的兼容性、多協(xié)議的適應性、多

25、接口的滿足性方面存在很大距離，其理論基礎和自主的技術手段也有待于發(fā)展和強化。然而，我國的系統(tǒng)安全的研究與應用畢竟已經(jīng)起步，具備了一定的基礎和條件。1999年10月發(fā)布了"計算機信息系統(tǒng)安全保護等級劃分準則"，該準則為安全產(chǎn)品的研制提供了技術支持，也為安全系統(tǒng)的建設和管理提供了技術指導。</p><p>　　Linux開放源代碼為我們自主研制安全操作系統(tǒng)提供了前所未有的機遇。作為信息系統(tǒng)賴以支持

26、的基礎系統(tǒng)軟件--操作系統(tǒng)，其安全性是個關鍵。長期以來，我國廣泛使用的主流操作系統(tǒng)都是從國外引進的。從國外引進的操作系統(tǒng)，其安全性難以令人放心。具有我國自主版權的安全操作系統(tǒng)產(chǎn)品在我國各行各業(yè)都迫切需要。我國的政府、國防、金融等機構對操作系統(tǒng)的安全都有各自的要求，都迫切需要找到一個既滿足功能、性能要求，又具備足夠的安全可信度的操作系統(tǒng)。Linux的發(fā)展及其應用在國際上的廣泛興起，在我國也產(chǎn)生了廣泛的影響，只要其安全問題得到妥善解決，將會

27、得到我國各行各業(yè)的普遍接受。 </p><p>　　4．網(wǎng)絡安全與安全產(chǎn)品研究現(xiàn)狀及發(fā)展趨勢</p><p>　　網(wǎng)絡安全是信息安全中的重要研究內容之一，也是當前信息安全領域中的研究熱點。研究內容包括：網(wǎng)絡安全整體解決方案的設計與分析，網(wǎng)絡安全產(chǎn)品的研發(fā)等。網(wǎng)絡安全包括物理安全和邏輯安全。物理安全指網(wǎng)絡系統(tǒng)中各通信、計算機設備及相關設施的物理保護，免于破壞、丟失等。邏輯安全包含信息完整性、

28、保密性、非否認性和可用性。它是一個涉及網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)、人員管理等方方面面的事情，必須綜合考慮。</p><p>　　網(wǎng)絡中的安全威脅主要有：</p><p>　　1）身份竊取，指用戶身份在通信時被非法截取；</p><p>　　2）假冒，指非法用戶假冒合法用戶身份獲取敏感信息的行為；</p><p>　　3）數(shù)據(jù)竊取，指非法

29、用戶截獲通信網(wǎng)絡的數(shù)據(jù)；</p><p>　　4）否認，指通信方事后否認曾經(jīng)參與某次活動的行為；</p><p><b>　　5）非授權訪問；</b></p><p>　　6）拒絕服務，指合法用戶的正當申請被拒絕、延遲、更改等；</p><p><b>　　7）錯誤路由。</b></p>

30、<p>　　解決網(wǎng)絡信息安全問題的主要途徑是利用密碼技術和網(wǎng)絡訪問控制技術。密碼技術用于隱蔽傳輸信息、認證用戶身份等。網(wǎng)絡訪問控制技術用于對系統(tǒng)進行安全保護，抵抗各種外來攻擊。</p><p>　　目前，在市場上比較流行，而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類：</p><p>　　1） 防火墻：防火墻在某種意義上可以說是一種訪問控制產(chǎn)品。它在內部網(wǎng)絡與不安全的外部

31、網(wǎng)絡之間設置障礙，阻止外界對內部資源的非法訪問，防止內部對外部的不安全訪問。主要技術有：包過濾技術，應用網(wǎng)關技術，代理服務技術。防火墻能夠較為有效地防止黑客利用不安全的服務對內部網(wǎng)絡的攻擊，并且能夠實現(xiàn)數(shù)據(jù)流的監(jiān)控、過濾、記錄和報告功能，較好地隔斷內部網(wǎng)絡與外部網(wǎng)絡的連接。但它其本身可能存在安全問題，也可能會是一個潛在的瓶頸。</p><p>　　2） 安全路由器：由于WAN連接需要專用的路由器設備，因而可通過路

32、由器來控制網(wǎng)絡傳輸。通常采用訪問控制列表技術來控制網(wǎng)絡信息流。</p><p>　　3） 虛擬專用網(wǎng)(VPN)：虛擬專用網(wǎng)（VPN）是在公共數(shù)據(jù)網(wǎng)絡上，通過采用數(shù)據(jù)加密技術和訪問控制技術，實現(xiàn)兩個或多個可信內部網(wǎng)之間的互聯(lián)。VPN的構筑通常都要求采用具有加密功能的路由器或防火墻，以實現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞。</p><p>　　4） 安全服務器：安全服務器主要針對一個局域網(wǎng)內部信息存

33、儲、傳輸?shù)陌踩Ｃ軉栴}，其實現(xiàn)功能包括對局域網(wǎng)資源的管理和控制，對局域網(wǎng)內用戶的管理，以及局域網(wǎng)中所有安全相關事件的審計和跟蹤。</p><p>　　5） 電子簽證機構--CA和PKI產(chǎn)品：電子簽證機構（CA）作為通信的第三方，為各種服務提供可信任的認證服務。CA可向用戶發(fā)行電子簽證證書，為用戶提供成員身份驗證和密鑰管理等功能。PKI產(chǎn)品可以提供更多的功能和更好的服務，將成為所有應用的計算基礎結構的核心部件。&l

34、t;/p><p>　　6） 用戶認證產(chǎn)品：由于IC卡技術的日益成熟和完善，IC卡被更為廣泛地用于用戶認證產(chǎn)品中，用來存儲用戶的個人私鑰，并與其他技術如動態(tài)口令相結合，對用戶身份進行有效的識別。同時，還可利用IC卡上的個人私鑰與數(shù)字簽名技術結合，實現(xiàn)數(shù)字簽名機制。隨著模式識別技術的發(fā)展，諸如指紋、視網(wǎng)膜、臉部特征等高級的身份識別技術也將投入應用，并與數(shù)字簽名等現(xiàn)有技術結合，必將使得對于用戶身份的認證和識別更趨完善。&l

35、t;/p><p>　　7） 安全管理中心：由于網(wǎng)上的安全產(chǎn)品較多，且分布在不同的位置，這就需要建立一套集中管理的機制和設備，即安全管理中心。它用來給各網(wǎng)絡安全設備分發(fā)密鑰，監(jiān)控網(wǎng)絡安全設備的運行狀態(tài)，負責收集網(wǎng)絡安全設備的審計信息等。</p><p>　　8） 入侵檢測系統(tǒng)（IDS）：入侵檢測，作為傳統(tǒng)保護機制（比如訪問控制，身份識別等）的有效補充，形成了信息系統(tǒng)中不可或缺的反饋鏈。</

36、p><p>　　9） 安全數(shù)據(jù)庫：由于大量的信息存儲在計算機數(shù)據(jù)庫內，有些信息是有價值的，也是敏感的，需要保護。安全數(shù)據(jù)庫可以確保數(shù)據(jù)庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。</p><p>　　10） 安全操作系統(tǒng)：給系統(tǒng)中的關鍵服務器提供安全運行平臺，構成安全WWW服務，安全FTP服務，安全SMTP服務等，并作為各類網(wǎng)絡安全產(chǎn)品的堅實底座，確保這些安全產(chǎn)品的

37、自身安全。</p><p>　　在上述所有主要的發(fā)展方向和產(chǎn)品種類上，都包含了密碼技術的應用，并且是非?；A性的應用。很多的安全功能和機制的實現(xiàn)都是建立在密碼技術的基礎之上，甚至可以說沒有密碼技術就沒有安全可言。但是，我們也應該看到密碼技術與通信技術、計算機技術以及芯片技術的融合正日益緊密，其產(chǎn)品的分界線越來越模糊，彼此也越來越不能分割。在一個計算機系統(tǒng)中，很難簡單地劃分某個設備是密碼設備，某個設備是通信設備。而

38、這種融合的最終目的還是在于為用戶提供高可信任的、安全的計算機和網(wǎng)絡信息系統(tǒng)。</p><p>　　第三章 防火墻技術在信息安全領域中的應用及其前景</p><p>　　防火墻一般有三個特性： </p><p>　　1）所有的通信都經(jīng)過防火墻 </p><p>　　2）防火墻只放行經(jīng)過授權的網(wǎng)絡流量 </p><p>　

39、　3）防火墻能經(jīng)受的住對其本身的攻擊 </p><p>　　為什么要使用防火墻？很多人都會有這個問題，也有人提出，如果把每個單獨的系統(tǒng)配置好，其實也能經(jīng)受住攻擊。遺憾的是很多系統(tǒng)在缺省情況下都是脆弱的。最顯著的例子就是Windows系統(tǒng)，我們不得不承認在Windows 2003以前的時代， Windows默認開放了太多不必要的服務和端口，共享信息沒有合理配置與審核。如果管理員通過安全部署，包括刪除多余的服務和組件

40、，嚴格執(zhí)行NTFS權限分配，控制系統(tǒng)映射和共享資源的訪問，以及帳戶的加固和審核，補丁的修補等。做好了這些，我們也可以非常自信的說，Windows足夠安全。也可以抵擋住網(wǎng)絡上肆無忌憚的攻擊。但是致命的一點是，該服務器系統(tǒng)無法在安全性，可用性和功能上進行權衡和妥協(xié)。 </p><p>　　如果沒有防火墻，粗略的下個結論，就是：整個網(wǎng)絡的安全將倚仗該網(wǎng)絡中所有系統(tǒng)的安全性的平均值。遺憾的是這并不是一個正確的結論，真實的

41、情況比這更糟：整個網(wǎng)絡的安全性將被網(wǎng)絡中最脆弱的部分所嚴格制約。即非常有名的木桶理論也可以應用到網(wǎng)絡安全中來。沒有人可以保證網(wǎng)絡中每個節(jié)點每個服務都永遠運行在最佳狀態(tài)。網(wǎng)絡越龐大，把網(wǎng)絡中所有主機維護至同樣高的安全水平就越復雜，將會耗費大量的人力和時間。整體的安全響應速度將不可忍受，最終導致網(wǎng)絡安全框架的崩潰。</p><p>　　防火墻成為了與不可信任網(wǎng)絡進行聯(lián)絡的唯一紐帶，我們通過部署防火墻，就可以通過關注防

42、火墻的安全來保護其內部的網(wǎng)絡安全。并且所有的通信流量都通過防火墻進行審記和保存，對于網(wǎng)絡安全犯罪的調查取證提供了依據(jù)。總之，防火墻減輕了網(wǎng)絡和系統(tǒng)被用于非法和惡意目的的風險。 </p><p>　　防火墻的主要優(yōu)點如下： </p><p>　　1）防火墻可以通過執(zhí)行訪問控制策略而保護整個網(wǎng)絡的安全，并且可以將通信約束在一個可管理和可靠性高的范圍之內。 </p><p&g

43、t;　　2）防火墻可以用于限制對某些特殊服務的訪問。 </p><p>　　3）防火墻功能單一，不需要在安全性，可用性和功能上做取舍。 </p><p>　　4）防火墻有審記和報警功能，有足夠的日志空間和記錄功能，可以延長安全響應的周期。 </p><p>　　同樣的，防火墻也有許多弱點： </p><p>　　1）不能防御已經(jīng)授權的訪問,以

44、及存在于網(wǎng)絡內部系統(tǒng)間的攻擊. </p><p>　　2）不能防御合法用戶惡意的攻擊.以及社交攻擊等非預期的威脅. </p><p>　　3）不能修復脆弱的管理措施和存在問題的安全策略 </p><p>　　4）不能防御不經(jīng)過防火墻的攻擊和威脅 </p><p>　　在開始之前，我們首先必須面對一個事實，絕對的安全是沒有的。我們所能做的，是減

45、少企業(yè)所面臨的安全風險，延長安全的穩(wěn)定周期，縮短消除威脅的反映時間。網(wǎng)管與安全人員需要解決的是來自內部和外部的混合威脅，是蓄意或無意的攻擊和破壞，是需要提高整體安全防范意識與科學的協(xié)調和管理?？陀^的去分析現(xiàn)今的企業(yè)網(wǎng)絡，我們不難發(fā)現(xiàn)，在經(jīng)歷了普及終端和網(wǎng)絡互聯(lián)的時代后，我們面對的問題還有很多，如客戶端的非法操作，對網(wǎng)絡的不合法的訪問與利用；網(wǎng)絡結構的設計缺陷與混雜的部署環(huán)境；網(wǎng)絡邊界與關鍵應用的區(qū)域缺乏必要的防御措施和審記系統(tǒng)等等。 &

46、lt;/p><p><b>　　第四章 結果與結論</b></p><p>　　網(wǎng)絡安全的解決是一個綜合性問題，涉及到諸多因素，包括技術、產(chǎn)品和管理等。目前國際上已有眾多的網(wǎng)絡安全解決方案和產(chǎn)品，但由于出口政策和自主性等問題，不能直接用于解決我國自己的網(wǎng)絡安全，因此我國的網(wǎng)絡安全只能借鑒這些先進技術和產(chǎn)品，自行解決。可幸的是，目前國內已有一些網(wǎng)絡安全解決方案和產(chǎn)品，不過，

47、這些解決方案和產(chǎn)品與國外同類產(chǎn)品相比尚有一定的差距。</p><p><b>　　【參考資料】:</b></p><p>　　1）陳鐘 “網(wǎng)絡與信息安全”研究生講義 密碼技術基礎</p><p>　　2）Andrew S.Tanenbaum, Albert S.Woodhull “Operating System Design and Impl