1.網(wǎng)絡(luò)上的不安全因素

隨著全球信息化的飛速發(fā)展，大量建設(shè)的各種信息化系統(tǒng)已經(jīng)成為國家和政府的關(guān)鍵基礎(chǔ)設(shè)施，其中許多業(yè)務(wù)都是國際性的，諸如電信、電子商務(wù)、金隔網(wǎng)絡(luò)等。網(wǎng)絡(luò)信息安全已成為亟待解決、影響國家全局和長遠利益的重大關(guān)鍵問題。

計算機犯罪是一種高技術(shù)型犯罪，由于其犯罪的隱蔽性，因此對計算機網(wǎng)絡(luò)安全構(gòu)成了很大的威脅。計算機犯罪已經(jīng)引起全社會的普遍關(guān)注。隨著Internet的廣泛應(yīng)用，采用瀏覽器/服務(wù)器模式的Intranet紛紛建成，這使網(wǎng)絡(luò)用戶可以方便地訪問和共享網(wǎng)絡(luò)資源。但同時對企業(yè)的重要信息，如貿(mào)易秘密、產(chǎn)品開發(fā)計劃、市場策略、財務(wù)資料等的安全無疑埋下了致命的威脅。必須認識到，對于大到整個Internet，小到各Intranet及各校園網(wǎng)，都存在著來自網(wǎng)絡(luò)內(nèi)部與外部的威脅。對Inetrnet的構(gòu)成威脅可分為兩類：故意危害和無意危害。

故意危害Internet安全的主在有三種人：故意破壞者又稱黑客（Hackers）、不遵守規(guī)則者(Vandals)和刺探秘密者(Crackers)。故意破壞者企圖通過各種手段去破壞網(wǎng)絡(luò)資源與信息，例如涂抹別人的主頁、修改系統(tǒng)配置、造成系統(tǒng)癱瘓；不遵守規(guī)則者企圖訪問不允許訪問的系統(tǒng)，這種人可能僅僅是到網(wǎng)中看看、找些資料，也可能想盜用別人的計算機資源（如CPU時間）；刺探秘密者的企圖是通過非法手段侵入他人系統(tǒng)，以竊取重要秘密和個人資料。

除了泄露信息對企業(yè)網(wǎng)構(gòu)成威脅之外，還有一種危險是有害信息的侵入。有人在網(wǎng)上傳播一些不健康的圖片、文字或散布不負責任的消息；另一種不遵守網(wǎng)絡(luò)使用規(guī)則的用戶可能通過玩一些電子游戲?qū)⒉《編胂到y(tǒng)，輕則造成信息出誤，嚴重時將會造成網(wǎng)絡(luò)癱瘓。

2.防火墻（Firewall）技術(shù)

防火墻是有被保護的Intranet與Internet之間豎起的一道安全屏障，用于增強Intranet的安全性。Internet/Intranet防火墻，用以確定哪些服務(wù)可以被Interneth上的用戶訪問，外部的哪些人可以訪問內(nèi)部的嗖服務(wù)以及外部服務(wù)可以被內(nèi)部人員訪問，目前的防火墻技術(shù)可以起到以下安全作用：

（1）集中的網(wǎng)絡(luò)安全。防火墻允許網(wǎng)絡(luò)管理員定義一個中心（阻塞點）來防止非法用戶（如黑客、網(wǎng)絡(luò)破壞者等）進入內(nèi)部網(wǎng)絡(luò)，禁止存在不安全因素的訪問進出網(wǎng)絡(luò)，并抗擊來自各種線路的攻擊。防火墻技術(shù)能夠簡化網(wǎng)絡(luò)的安全管理、提高網(wǎng)絡(luò)的安全性。

（2）安全警報。通過防火墻可以方便地監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報警信號。網(wǎng)絡(luò)管理員必須審查并記錄所有通過防火墻的重要信息。

（3）重新部署網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）。Internet的迅速發(fā)展使得有效的未被申請的IP地址越來越少，這意味著想進入Internet的機構(gòu)可能申請不到足夠的IP地址來滿足內(nèi)部網(wǎng)絡(luò)用戶的需要。為了接入Internet，可以通過網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(Network Address Translator)來完成內(nèi)部私有地址到外部注冊地址的映射。防火墻是部署NAT的理想位置。

（4）監(jiān)視INTERNET的使用。防火墻也是審查和記錄內(nèi)部人員對INTERNET使用的一個最佳位置，可以在此對內(nèi)部訪問INTERNET的情況進行記錄。

（5）向外發(fā)布信息。防火墻除了起到安全屏障作用外，也是部署WWW服務(wù)器和FTP服務(wù)器的理想位置。允許INTERNET訪問上述服務(wù)器，而禁止對內(nèi)部受保護的其它系統(tǒng)進行訪問。

但是，防火墻也是自身的局限性，它無法防范來自防火墻以外的其它途徑所進行的攻擊。例如在一個被保護的的網(wǎng)絡(luò)上有一個沒有限制的撥號訪問存在，這樣就為從后門進行攻擊留下了可能性；另外，防火墻也不能防止來自內(nèi)部變節(jié)者或不經(jīng)心的用戶帶來的威脅；同時防火墻也不能解決進入防火墻的數(shù)據(jù)帶來的所有安全問題，如果用戶抓來一個程序在本地運行，那個程序可能就包含一段惡意代碼，可能會導(dǎo)致敏感信息泄露或遭到破壞。

典型的防火墻系統(tǒng)可以由一個或多個構(gòu)件組成，其主要部分是：包過濾路由器也稱分組過濾路由器、應(yīng)用層網(wǎng)關(guān)，電路層網(wǎng)關(guān)。

包過濾路由器對IP地址，TCP或UDP分組頭信息進行檢查與過濾，以確定是否與設(shè)備的過濾規(guī)則匹配繼而決定此數(shù)據(jù)包按照由表中的信息被轉(zhuǎn)發(fā)或被丟棄。包過濾方式的主要優(yōu)點是僅一個關(guān)健位置設(shè)置一個包過濾路由器就可以保護整個網(wǎng)絡(luò)，而且包過濾對用戶是透明的，不必在用戶機上再安裝特定的軟件。包過濾也有它的缺點和局限性，如包過濾規(guī)則配置比較復(fù)雜，而且?guī)缀鯖]有什么工具能對過濾規(guī)則的正確性進行測試；包過濾也沒法查出具有數(shù)據(jù)驅(qū)動攻擊這一類潛在危險的數(shù)據(jù)包；另外，隨著過濾數(shù)目的增加，路由器的吞吐量會下降，從而影響網(wǎng)絡(luò)性能。

應(yīng)用層網(wǎng)關(guān)也就是通常所說的代理服務(wù)器。代理服務(wù)器運行在INTERNET和INTRANET之間，當收到用戶對某站點的訪問請求后，會檢查請求是否符合規(guī)則。若規(guī)則允許用戶訪問該站的話，代理服務(wù)器便會經(jīng)客戶身份去那個站點取回所需的信息再發(fā)回給客戶。因此代理服務(wù)器會像一堵墻一樣擋在內(nèi)部用戶和外界之間，從外部只能看到該代理服務(wù)器而無法獲知任何內(nèi)部資料，諸如用戶的IP地址等。應(yīng)用層網(wǎng)關(guān)比單一的包過濾更為可靠，而且會詳細記錄所有的訪問狀態(tài)但是應(yīng)用層網(wǎng)關(guān)也存在一些不足之外，首先因為它不允許用戶直接訪問網(wǎng)絡(luò)，會使訪問速度變慢；而且應(yīng)用層網(wǎng)關(guān)需要對每一個特定的Internet服務(wù)器安裝相應(yīng)的代理服務(wù)軟件，用戶不能使用未被服務(wù)器支持的服務(wù)，對每一類服務(wù)要使用特殊的客戶端軟件；更不幸的是，并不是所有的Internet應(yīng)用軟件都可以使用代理服務(wù)理。

電路層網(wǎng)關(guān)是一種特殊的功能，它也可以由應(yīng)用層網(wǎng)關(guān)來完成。電路層網(wǎng)關(guān)只依賴于TCP連接，并不進行任何的包處理或過濾。在Telnet的連接中，電路層網(wǎng)關(guān)簡單地進行了中繼，并不做任何審查、過濾或協(xié)議管理。它只在內(nèi)部連接和外部連接之間來回拷貝字節(jié)，但隱藏受保護網(wǎng)絡(luò)的有關(guān)信息。電路層網(wǎng)關(guān)常用于對外連接，此時假設(shè)網(wǎng)絡(luò)管理員對其內(nèi)部用戶是信任的。它的優(yōu)點是主機可以被設(shè)置成混合網(wǎng)關(guān)，對于內(nèi)連接它支持應(yīng)用層或代理服務(wù)，而對于外連接煞費苦心支持的電路層功能。這樣，使得防火墻系統(tǒng)對于要訪問Internet服務(wù)的內(nèi)部用戶來說使用起來很方便，同時又能提供保護內(nèi)部網(wǎng)絡(luò)免于外部攻擊的防火墻功能。