對(duì)網(wǎng)絡(luò)安全對(duì)策的探討

網(wǎng)絡(luò)時(shí)代 　　不同的人往往從不同的角度將某個(gè)時(shí)期冠之以“XX時(shí)代”，用來(lái)強(qiáng)調(diào)某些事物或某些人對(duì)社會(huì)的重要影響。這里所說(shuō)的網(wǎng)絡(luò)是指以計(jì)算機(jī)和其他電信設(shè)備為用戶終端，以現(xiàn)代綜合電信網(wǎng)為傳輸鏈路，以交換設(shè)備和處理設(shè)備為結(jié)點(diǎn)，以多種多樣的信息為載荷的集合。這種網(wǎng)絡(luò)對(duì)當(dāng)代社會(huì)的經(jīng)濟(jì)、政治、文化、軍事和人們的生活等方面均產(chǎn)生了重大的影響，所以越來(lái)越多的人認(rèn)為我們的社會(huì)已經(jīng)進(jìn)入“網(wǎng)絡(luò)時(shí)代”。 　　可從以下數(shù)據(jù)和事例中看出網(wǎng)絡(luò)對(duì)社會(huì)產(chǎn)生的重大影響： 　　全球的Internet用戶已達(dá)5億多戶，中國(guó)則達(dá)4500多萬(wàn)戶，而在Internet網(wǎng)之外還有相當(dāng)數(shù)量的專用網(wǎng)用戶。 　　全球已發(fā)現(xiàn)的計(jì)算機(jī)病毒超過(guò)4．5萬(wàn)種，每年造成的經(jīng)濟(jì)損失超過(guò)1．6萬(wàn)億美元。 　　中國(guó)青年報(bào)2002年9月2日有兩篇關(guān)于網(wǎng)絡(luò)的報(bào)道。一篇是說(shuō)張小姐8月24日在云南麗江乘坐的旅游車翻入山谷，張小姐第三腰椎壓縮性骨折，如不及時(shí)救治可能終身殘疾，其遠(yuǎn)在深圳的朋友上網(wǎng)求援，獲得民航的包機(jī)專運(yùn)，使病人26日就轉(zhuǎn)至廣州中山附二醫(yī)院，27日及時(shí)進(jìn)行了手術(shù)，網(wǎng)絡(luò)使她贏得了搶救的時(shí)間；另一篇是說(shuō)7月23日11：15至12：30首都國(guó)際機(jī)場(chǎng)因?yàn)榫W(wǎng)絡(luò)故障而“癱瘓”使60個(gè)航班和6000多名旅客的飛行被延誤，還提到7月5日深圳證券交易所因?yàn)榫W(wǎng)絡(luò)故障而關(guān)停數(shù)小時(shí)的嚴(yán)重事故。 　　在網(wǎng)絡(luò)時(shí)代，網(wǎng)絡(luò)給社會(huì)帶來(lái)了前所未有的機(jī)遇和挑戰(zhàn)。網(wǎng)絡(luò)的正常運(yùn)行為社會(huì)帶來(lái)了巨大的進(jìn)步和財(cái)富，而網(wǎng)絡(luò)的不安全性也會(huì)造成意想不到的災(zāi)難和損失。網(wǎng)絡(luò)正在加速擴(kuò)大覆蓋范圍、加速滲透到各個(gè)領(lǐng)域、加速改變傳統(tǒng)規(guī)則，我們只有努力提高網(wǎng)絡(luò)的安全性，趨利避害，才能與網(wǎng)絡(luò)時(shí)代同步前進(jìn)。 　　關(guān)于網(wǎng)絡(luò)安全的主要觀點(diǎn) 　　網(wǎng)絡(luò)安全的目標(biāo) 　　保障網(wǎng)絡(luò)的物理安全，對(duì)網(wǎng)絡(luò)施以物理保護(hù)，防止遭到破壞。 　　保障網(wǎng)絡(luò)的邏輯安全，即使用邏輯隔離以保證信息的機(jī)密性(confidentiality)、完整性(integrity)、可用性(availability)、可控制性(controllability)、真實(shí)性(authenticity)和不可抵賴性(non-repudiation)。機(jī)密性保證信息不會(huì)被未經(jīng)授權(quán)的人所解讀；完整性保證信息不會(huì)被增、刪、篡改和破壞；可用性保證信息確實(shí)為授權(quán)使用者正常運(yùn)行；可控性保證對(duì)網(wǎng)絡(luò)和信息可實(shí)施安全監(jiān)控；真實(shí)性保證接收到的信息確實(shí)是發(fā)信方發(fā)的而不是假冒的；不可抵賴性保證發(fā)信方無(wú)法否認(rèn)他發(fā)給收信方的信息，并可通過(guò)數(shù)字取證、證據(jù)保全，使公證方和仲裁方方便介入，用法律管理網(wǎng)絡(luò)。 　　保障網(wǎng)絡(luò)的管理安全，首先是要選用可信任的人，其次是管理部門和管理人員要有足夠的安全常識(shí)，制訂相應(yīng)的法律、規(guī)章、制度，加強(qiáng)行政管理，預(yù)防為主。 　　安全不是絕對(duì)的 　　安全是一個(gè)與風(fēng)險(xiǎn)密切相關(guān)的概念，只有在一定風(fēng)險(xiǎn)程度范圍內(nèi)的安全，而沒(méi)有絕對(duì)的安全。 　　網(wǎng)絡(luò)共享和網(wǎng)絡(luò)威脅是一對(duì)公生體，網(wǎng)絡(luò)開(kāi)放、共享的程度越高，網(wǎng)絡(luò)面臨的威脅就越高。或者說(shuō)，網(wǎng)絡(luò)的可用性越高，網(wǎng)絡(luò)的安全性就越低。網(wǎng)絡(luò)存在安全漏洞是難免的，網(wǎng)絡(luò)的被攻擊是不可避免的，只是要把被攻破的幾率盡可能降低而已。 　　網(wǎng)絡(luò)信息戰(zhàn)已現(xiàn)端倪 　　網(wǎng)絡(luò)信息戰(zhàn)是指在網(wǎng)絡(luò)里為爭(zhēng)奪制信息權(quán)而進(jìn)行的軍事?tīng)?zhēng)斗，目的是癱瘓敵方的指揮自動(dòng)化系統(tǒng)。 　　網(wǎng)絡(luò)信息戰(zhàn)的作戰(zhàn)形式包括指揮控制戰(zhàn)、電子戰(zhàn)、情報(bào)戰(zhàn)、心理戰(zhàn)、黑客戰(zhàn)等。 　　1991年海灣戰(zhàn)爭(zhēng)中，美軍第一次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn)并獲得了勝利，網(wǎng)絡(luò)信息戰(zhàn)開(kāi)始應(yīng)用于戰(zhàn)爭(zhēng)；此后，在南斯拉夫的科索沃戰(zhàn)爭(zhēng)、俄羅斯的車臣戰(zhàn)爭(zhēng)，2001年以中美戰(zhàn)機(jī)相撞事件為導(dǎo)火索出現(xiàn)的中美黑客大戰(zhàn)，2001年發(fā)生在美國(guó)的“9．11”恐怖襲擊中，都有網(wǎng)絡(luò)信息戰(zhàn)的影子。 　　許多軍事專家已在潛心研究網(wǎng)絡(luò)信息戰(zhàn)的方方面面，甚至將網(wǎng)絡(luò)信息攻擊看作是現(xiàn)代戰(zhàn)爭(zhēng)的殺手锏�？梢栽O(shè)想，在不久的將來(lái)，軍隊(duì)編制中出現(xiàn)網(wǎng)絡(luò)戰(zhàn)分隊(duì)甚至網(wǎng)軍都是完全可能的。 　　密碼技術(shù)是網(wǎng)絡(luò)信息安全最核心最基本的技術(shù) 　　密碼的主要作用是將信息的密級(jí)屬性改變成公開(kāi)屬性，使那些帶密級(jí)的信息可以在公共網(wǎng)絡(luò)中存放、傳輸和交換。 　　密碼技術(shù)可用于信息加密、信息認(rèn)證、數(shù)字簽名、授權(quán)控制、加密隧道和密鑰管理等方面，使截獲信息的人無(wú)法憑借現(xiàn)階段可獲得的計(jì)算資源進(jìn)行破譯。 　　秘密全部寓于密鑰之中，這是編密者的基本信條，截獲者可以截取密文，但只要拿不到密鑰，就應(yīng)無(wú)法破譯。 　　編密有嚴(yán)格的程序和數(shù)學(xué)算法，而破譯則要靠豐富的經(jīng)驗(yàn)、廣泛的聯(lián)想和恰當(dāng)?shù)募记闪�。世界上沒(méi)有不可破譯的密碼，而往往要受物力、財(cái)力、時(shí)間、條件的制約，“兩軍相逢”只有智者勝了。 　　簡(jiǎn)單的加密只能麻痹自己，方便敵人，還不如不加密。 　　網(wǎng)絡(luò)安全不能一勞永逸 　　網(wǎng)絡(luò)安全和網(wǎng)絡(luò)威脅是一對(duì)矛盾，此消彼長(zhǎng)，并在動(dòng)態(tài)中發(fā)展，在斗爭(zhēng)中前進(jìn)。 　　網(wǎng)絡(luò)安全措施不是萬(wàn)能的，但是沒(méi)有網(wǎng)絡(luò)安全措施是萬(wàn)萬(wàn)不能的。 　　網(wǎng)絡(luò)安全的重點(diǎn)在于提高網(wǎng)絡(luò)的頑存性，允許某些非法入侵，允許部分組件受損、允許某些部件的不可靠，但網(wǎng)絡(luò)仍能在結(jié)構(gòu)上合理配置資源和資源重組，仍可完成主要任務(wù)。 　　網(wǎng)絡(luò)安全要在定期的測(cè)評(píng)中運(yùn)用最新技術(shù)成果不斷改進(jìn)，不能一勞永逸。 　　網(wǎng)絡(luò)安全的投資 　　網(wǎng)絡(luò)安全產(chǎn)業(yè)包括安全設(shè)備和安全服務(wù)兩部分。安全設(shè)備包括防火墻、殺毒軟件、密碼機(jī)、訪問(wèn)控制、安全認(rèn)證、加密隧道的構(gòu)筑等；安全服務(wù)包括安全咨詢、安全風(fēng)險(xiǎn)評(píng)估、項(xiàng)目實(shí)施、整體解決方案、安全培訓(xùn)、售后技術(shù)支援、產(chǎn)品更新?lián)Q代等。 　　國(guó)際上網(wǎng)絡(luò)安全產(chǎn)業(yè)的投資大約占網(wǎng)絡(luò)產(chǎn)業(yè)的10%—15%，其中安全設(shè)備和安全服務(wù)的投資比例接近于1：1，而且隨著時(shí)間的推移安全服務(wù)的投資比例還會(huì)增大。專家們預(yù)計(jì)不久的將來(lái)就會(huì)出現(xiàn)“網(wǎng)上110”、“網(wǎng)上警察”和“網(wǎng)上急救隊(duì)”了。 　　做網(wǎng)絡(luò)安全的理性用戶 　　理性用戶應(yīng)該遵紀(jì)守法，貫徹執(zhí)行相關(guān)的網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)、規(guī)范；聽(tīng)取專家咨詢建議，制訂與網(wǎng)絡(luò)發(fā)展協(xié)調(diào)的安全方案；精挑細(xì)選，掌握產(chǎn)品的真實(shí)性能指標(biāo)；關(guān)注最新技術(shù)，動(dòng)態(tài)調(diào)整安全方案，備好安全應(yīng)急措施。 　　網(wǎng)絡(luò)安全的基本對(duì)策 　　建立網(wǎng)絡(luò)安全的體系結(jié)構(gòu) 　　網(wǎng)絡(luò)安全的體系結(jié)構(gòu)是一個(gè)理論基礎(chǔ)，可以使網(wǎng)絡(luò)安全建設(shè)綱舉目張、有條不紊、全面周到、相對(duì)完善。 　　國(guó)外的一些政府部門、研究機(jī)構(gòu)和公司已經(jīng)就網(wǎng)絡(luò)安全體系結(jié)構(gòu)提出了一些模型，趙戰(zhàn)先生在其基礎(chǔ)上提出了適合中國(guó)國(guó)情的模型，即WPDRRC(預(yù)警、保護(hù)、檢測(cè)、反應(yīng)、恢復(fù)和反擊)。預(yù)警是指預(yù)測(cè)網(wǎng)絡(luò)可能受到的攻擊，評(píng)估面臨的風(fēng)險(xiǎn)，為安全決策提供依據(jù)；保護(hù)是指依據(jù)不同等級(jí)的安全要求，采用不同的保護(hù)等級(jí)；檢測(cè)是指動(dòng)態(tài)、實(shí)時(shí)地查明網(wǎng)絡(luò)所受到的威脅性質(zhì)和程度；反應(yīng)是指對(duì)于危及安全的事件及時(shí)做出相應(yīng)的處理，把危害減至最低限度；恢復(fù)是指采用容錯(cuò)、冗余、替換、修復(fù)和一致性保證等技術(shù)使網(wǎng)絡(luò)迅速恢復(fù)正常工作；反擊是指具有犯罪取證能力和打擊手段。 　　專網(wǎng)與互聯(lián)網(wǎng)的隔離 　　2002年8月5日國(guó)家信息化辦公室發(fā)文要求、“電子政務(wù)網(wǎng)絡(luò)由政務(wù)內(nèi)網(wǎng)和政外網(wǎng)構(gòu)成，兩網(wǎng)之間有機(jī)隔離，政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離�！逼渌�部門和單位也有與此類似的要求。 　　物理隔離，就是兩個(gè)網(wǎng)絡(luò)之間不存在數(shù)據(jù)流，也不存在可以共享的存儲(chǔ)和信道。物理隔離的實(shí)施方案有：支持雙主機(jī)、單終端的終端切換方案；雙硬盤、雙網(wǎng)卡的物理隔離方案；具有雙網(wǎng)隔離功能的隔離網(wǎng)卡方

案；外部網(wǎng)使用單獨(dú)硬盤，內(nèi)部網(wǎng)使用服務(wù)器端統(tǒng)一存儲(chǔ)的隔離方案；后來(lái)又出現(xiàn)了雙主板、單CPU、通過(guò)硬件體系結(jié)構(gòu)實(shí)現(xiàn)隔離的方案。用戶可以靈活設(shè)計(jì)自己的物理隔離方案，但它仍然無(wú)法抵御來(lái)自內(nèi)部的無(wú)意疏忽和有意攻擊。 　　邏輯隔離，就是兩個(gè)網(wǎng)絡(luò)之間只允許合法的數(shù)據(jù)交流，而不允許非法的數(shù)據(jù)流進(jìn)入專網(wǎng)。邏輯隔離可使用防火墻、網(wǎng)閘等來(lái)實(shí)現(xiàn)，例如校園網(wǎng)與互聯(lián)網(wǎng)通過(guò)防火墻來(lái)互聯(lián)，防火墻可將互聯(lián)網(wǎng)上的色情、恐怖、邪教宣傳等信息拒之于校園網(wǎng)之外。但是防火墻是防外不防內(nèi)的，防火墻的標(biāo)簽區(qū)分能力仍有大量的盲點(diǎn)，防火墻自身往往也存在漏洞使攻擊者有隙而入，防火墻的過(guò)濾規(guī)則如果定義不恰當(dāng)也會(huì)有“漏網(wǎng)之魚(yú)”，防火墻若不能適應(yīng)新的安全威脅即時(shí)升級(jí)和更新也將有名無(wú)實(shí)。 　　另外需要指出的是，為了安全關(guān)閉網(wǎng)絡(luò)是因噎廢食；為了安全而與外部網(wǎng)物理隔絕，會(huì)使內(nèi)部網(wǎng)變成“信息孤島”，大大降低使用效能；采用相對(duì)完善的安全方案，使內(nèi)部網(wǎng)與外部網(wǎng)(包括互聯(lián)網(wǎng))安全互聯(lián)，使專網(wǎng)用戶也能共享互聯(lián)網(wǎng)的豐富資源，這才是網(wǎng)絡(luò)的“大禹治水”之道，網(wǎng)絡(luò)的發(fā)展是硬道理 　　防火墻技術(shù) 　　防火墻是一種按某種規(guī)則對(duì)專網(wǎng)和互聯(lián)網(wǎng)，或?qū)�互�?lián)網(wǎng)的一部分和其余部分之間的信息交換進(jìn)行有條件的控制(包括隔離)，從而阻斷不希望發(fā)生的網(wǎng)絡(luò)間通信的系統(tǒng)。 　　防火墻可以用硬件、也可以用軟件、或用硬軟件共同來(lái)實(shí)現(xiàn)。防火墻按應(yīng)用場(chǎng)合可分為企業(yè)防火墻和個(gè)人防火墻，按技術(shù)原理可分為包過(guò)濾型和應(yīng)用網(wǎng)關(guān)型，按工作模式可分為網(wǎng)橋模式和路由模式。 　　防火墻可以為專網(wǎng)加強(qiáng)訪問(wèn)控制、提供信息過(guò)濾、應(yīng)用層的專用代理、日志分析統(tǒng)計(jì)報(bào)告、對(duì)用戶進(jìn)行“鑰匙口令+防火墻一次性口令”的雙因于認(rèn)證等功能。 　　防火墻的介入不應(yīng)過(guò)多影響網(wǎng)絡(luò)的效能，正常工作時(shí)應(yīng)能阻擋或捕捉到非法闖入者，特別是一旦防火墻被攻破時(shí)應(yīng)能重新啟動(dòng)并恢復(fù)到正常工作狀態(tài)，把對(duì)網(wǎng)絡(luò)的破壞降至最低限度。 　　訪問(wèn)控制技術(shù) 　　訪問(wèn)控制是一種確定進(jìn)入網(wǎng)絡(luò)的合法用戶對(duì)哪些網(wǎng)絡(luò)資源(如內(nèi)存、I／0、CPU、數(shù)據(jù)庫(kù)等)享有何種授權(quán)并可進(jìn)行何種訪問(wèn)(如讀、寫、運(yùn)行等)的機(jī)制。 　　訪問(wèn)控制可分為身份訪問(wèn)控制、內(nèi)容訪問(wèn)控制、規(guī)則訪問(wèn)控制、環(huán)境訪問(wèn)控制、數(shù)據(jù)標(biāo)簽等類型。 　　訪問(wèn)控制的常用技術(shù)有通行字、權(quán)限標(biāo)記、安全標(biāo)記、訪問(wèn)控制表和矩陣、訪問(wèn)持續(xù)時(shí)間限制等。 　　訪問(wèn)控制必須遵從最小特權(quán)原則，即用戶在其合法的訪問(wèn)授權(quán)之外而無(wú)其他的訪問(wèn)特權(quán)，以保證有效防止網(wǎng)絡(luò)因超權(quán)限訪問(wèn)而造成的損失。 　　值得指出的是，訪問(wèn)控制的強(qiáng)度并不是很高的，也不會(huì)是絕對(duì)安全的，例如通行字一般都很短且?guī)в幸恍┤怂�共知的特征，被猜中或攻破的可能性是較大的。 　　防病毒技術(shù) 　　計(jì)算機(jī)病毒是一種攻擊性程序，它可以修改其他程序或?qū)⒆陨淼目截惒迦肫渌�程序中�?lái)感染計(jì)算機(jī)網(wǎng)絡(luò)，病毒通常都具有破壞性作用，并通過(guò)網(wǎng)上信息交流而迅速傳播，進(jìn)一步破壞網(wǎng)上信息的完善性。 　　計(jì)算機(jī)病毒的特點(diǎn)是具有非授權(quán)的可執(zhí)行性、隱蔽性好、感染性強(qiáng)、潛伏得深、破壞性廣泛、有條件地觸發(fā)而發(fā)作、新病毒層出不窮等。 　　計(jì)算機(jī)病毒的危害多種多樣。病毒程序會(huì)消耗資源使網(wǎng)絡(luò)速度變慢；病毒會(huì)干擾、改變用戶終端的圖像或聲音，使用戶無(wú)法正常工作：有些病毒還會(huì)破壞文件、存儲(chǔ)器、軟件和硬件，使部分網(wǎng)絡(luò)癱瘓；有些病毒會(huì)在硬盤上設(shè)置遠(yuǎn)程共享區(qū)，形成后門，為黑客大開(kāi)方便之門。 　　防病毒技術(shù)包括四個(gè)方面：病毒的檢測(cè)(查毒)，并可自動(dòng)報(bào)警和攔截；病毒的清除(殺毒)，清除力求干凈徹底、不傷害網(wǎng)絡(luò)；網(wǎng)絡(luò)的修復(fù)，依據(jù)相關(guān)線索搶救丟失的數(shù)據(jù)，使網(wǎng)絡(luò)恢復(fù)正常工作；病毒的預(yù)防(免疫)，通常利用軟件補(bǔ)丁不斷彌補(bǔ)網(wǎng)絡(luò)漏洞，以亡羊補(bǔ)牢，同時(shí)要對(duì)殺毒軟件及時(shí)升級(jí)換代，保持其足夠的“殺傷力”。 　　網(wǎng)絡(luò)病毒千奇百怪，分類方法繁多。按病毒的算法分類則有伴隨性病毒(最早出現(xiàn)的一種病毒)，“蠕蟲(chóng)”型病毒(如1998年的莫里斯病毒)、寄生型病毒(新發(fā)現(xiàn)的病毒基本上都是此類)，如幽靈病毒、裝甲病毒、行騙病毒、慢效病毒、輕微破壞病毒、噬菌體病毒、反反病毒以及綜合性病毒等；而廣大網(wǎng)民容易理解的還是按應(yīng)用場(chǎng)合分類為互聯(lián)網(wǎng)病毒、電子郵件病毒、宏病毒、Windows病毒、DOS病毒、黑客程序以及其它應(yīng)用性病毒。道高一尺，魔高一丈，病毒功防戰(zhàn)中只能是“勇敢+智慧+堅(jiān)韌”的一方取勝了。 　　入侵檢測(cè)技術(shù) 　　入侵檢測(cè)被認(rèn)為是繼防火墻、信息加密之后的新一代網(wǎng)絡(luò)安全技術(shù)。入侵檢測(cè)是在指定的網(wǎng)段上(例如在防火墻內(nèi))及早發(fā)現(xiàn)具有入侵特征的網(wǎng)絡(luò)連接，并予以即時(shí)地報(bào)警、切斷連接或其它處置。 　　入侵檢測(cè)與防火墻所監(jiān)視的入侵特征不同。防火墻監(jiān)視的是數(shù)據(jù)流的結(jié)構(gòu)性特征，如源地址、目的地址和端口號(hào)等，這些特征一定會(huì)表示在數(shù)據(jù)流的特定位置上；而入侵檢測(cè)監(jiān)視的是體現(xiàn)在數(shù)據(jù)內(nèi)容中的攻擊特征，如數(shù)據(jù)流中出現(xiàn)大量連續(xù)的Nop填充碼，往往是利用緩；中區(qū)溢出漏洞的攻擊程序所制，它們使數(shù)據(jù)流的內(nèi)容發(fā)生了改變。但是還有一些入侵不會(huì)導(dǎo)致數(shù)據(jù)流出現(xiàn)攻擊特征字符串，而是體現(xiàn)為一種異常的群體行為模式，必須靠分布式入侵檢測(cè)系統(tǒng)才能綜合分析而發(fā)現(xiàn)。 　　入侵檢測(cè)的難點(diǎn)在于：檢測(cè)耗費(fèi)時(shí)間加響應(yīng)耗費(fèi)時(shí)間之和必須小于攻擊耗費(fèi)時(shí)間，這個(gè)時(shí)間隨著計(jì)算機(jī)速度的提高往往在μs級(jí)甚至于ns級(jí)；攻擊特征成千上萬(wàn)，既有已知的還有未知的，入侵檢測(cè)的算法也要隨之而改進(jìn)：網(wǎng)絡(luò)寬帶越來(lái)越大，網(wǎng)上數(shù)據(jù)流量已是天量海量，檢測(cè)如此巨大的數(shù)據(jù)流真如“大海撈針”；入侵檢測(cè)要對(duì)非法入侵發(fā)現(xiàn)得及時(shí)、抓住特征、防止銷毀證據(jù)并做出反擊，是一場(chǎng)不折不扣的高科技戰(zhàn)爭(zhēng)。 　　虛擬安全專網(wǎng)(VPN) 　　VPN是指業(yè)務(wù)提供商利用公眾網(wǎng)(如互聯(lián)網(wǎng))將多個(gè)用戶子網(wǎng)連接成一個(gè)專用網(wǎng)，VPN是一個(gè)邏輯網(wǎng)絡(luò)而非物理網(wǎng)絡(luò)，它既擁有公眾網(wǎng)的豐富資源而又擁有專用網(wǎng)的安全性和靈活性。 　　目前的公眾網(wǎng)都是基于IP網(wǎng)間協(xié)議的，為了解決IP數(shù)據(jù)流的安全問(wèn)題，IETF(因特網(wǎng)工程工作組)制訂了一個(gè)Ipsec(IP安全標(biāo)準(zhǔn))。Ipsec采用兩種安全機(jī)制：一個(gè)是AH(IP鑒別頭)，它對(duì)IP數(shù)據(jù)進(jìn)行強(qiáng)密碼校驗(yàn)，進(jìn)而提供數(shù)據(jù)完整性鑒別和源鑒別；另一個(gè)是ESP(IP數(shù)據(jù)封裝安全凈荷)，它通過(guò)加密IP數(shù)據(jù)來(lái)提供數(shù)據(jù)完整性和保密性，ESP又分為隧道加密方式(即對(duì)整個(gè)IP數(shù)據(jù)全加密)和IP數(shù)據(jù)凈荷加密方式兩類。 　　Ipsec是一種端到端的安全機(jī)制，Ipsec工作于互聯(lián)網(wǎng)協(xié)議的第三層即網(wǎng)間協(xié)議層，因此位于第四層的TCP協(xié)議(即傳送控制協(xié)議)不用任何改變即可工作在Ipsec之上。 　　其它網(wǎng)絡(luò)安全對(duì)策 　　除了上述幾條外，網(wǎng)絡(luò)安全方面還應(yīng)采用以下一些對(duì)策： 　　適當(dāng)強(qiáng)度的密碼算法，密碼始終是網(wǎng)絡(luò)安全的基石，也是一切安全對(duì)策的核心； 　　采用安全性好的操作系統(tǒng)； 　　采用電磁防護(hù)措施，一方面要防止有用信息的電磁漏瀉發(fā)射，另一方面要采用抗電磁干擾傳輸方式； 　　采用防雷電的保護(hù)措施； 　　采用適當(dāng)?shù)奈锢矸雷o(hù)措施； 　　加強(qiáng)行政管理、完善規(guī)章制度、嚴(yán)格人員選任、法律介入網(wǎng)絡(luò)等。 　　結(jié)束語(yǔ) 　　網(wǎng)絡(luò)是我們馳騁的廣闊天地，而網(wǎng)絡(luò)出口和IP地址為我們劃定了網(wǎng)絡(luò)疆土。網(wǎng)絡(luò)天地里既充滿了各種各樣的有用資源，也暗藏著許多“殺機(jī)”，正在進(jìn)行著一場(chǎng)沒(méi)有硝煙的戰(zhàn)爭(zhēng)�！氨４孀约骸⑾麥鐢橙恕笔俏覀兊幕�本原則，為了實(shí)現(xiàn)網(wǎng)絡(luò)安全，我們必須不斷學(xué)習(xí)，與網(wǎng)絡(luò)的發(fā)展同步前

進(jìn)；聽(tīng)取和尊重專家的建議，慎重安全決策；綜合運(yùn)用多種安全對(duì)策，確保適度的網(wǎng)絡(luò)安全；動(dòng)態(tài)改進(jìn)安全對(duì)策；努力占據(jù)安全的制高點(diǎn)。

【對(duì)網(wǎng)絡(luò)安全對(duì)策的探討】相關(guān)文章：

我國(guó)村民自治存在的問(wèn)題與對(duì)策探討08-06

基層行政執(zhí)法工作的難點(diǎn)及對(duì)策探討08-15

我國(guó)村民自治存在的問(wèn)題與對(duì)策探討08-06

高校學(xué)院檔案工作問(wèn)題及對(duì)策探討08-05

關(guān)于提高農(nóng)民收入的對(duì)策探討08-12

WTO對(duì)中國(guó)稅制的影響及其對(duì)策探討08-05

高中作文教學(xué)的現(xiàn)狀分析與對(duì)策探討08-24

鐵路貨運(yùn)向現(xiàn)代物流拓展對(duì)策探討08-05

關(guān)于MCAI教學(xué)普及問(wèn)題及其對(duì)策的探討08-17