網絡技術畢業設計論文畢業論文論文題目：《網絡安全之木馬病毒防范措施》網絡管理學號：_________________________網絡管理班級：_________________________網絡系統管理作者：_________________________網絡系統管理專業名稱：_________________________

摘要我們知道,21世紀的一些重要特征就是數字化,網絡化和信息化,它是一個以網絡為核心的信息時代。要實現信息化就必須依靠完善的網絡，因為網絡可以非常迅速的傳遞信息。因此網絡現在已成為信息社會的命脈和發展知識經濟的基礎。隨著計算機網絡的發展，網絡中的安全問題也日趨嚴重。當網絡的用戶來自社會各個階層與部門時，大量在網絡中存儲和傳輸的數據就需要保護。當人類步入21世紀這一信息社會、網絡社會的時候，我國將建立起一套完整的網絡安全體系，特別是從政策上和法律上建立起有中國特色的網絡安全體系。一個國家的安全體系實際上包括國家的法律和政策，以及技術與市場的發展平臺。我國在構建信息信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網絡安全問題,最終的辦法就是通過發展名族的安全產業,帶動我國網絡安全技術的整體提高。信息安全是國家發展所面臨的一個重要問題，對于這個問題，我們還沒有從系統的規劃上去考慮它，從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分，而且應該看到發展安全產業的政策是信息安全保障系統的一個重要組成部分，甚至應該看到它對我國未來數字化、網絡化、信息化的發展將起到非常重要的作用。【關鍵詞】網絡安全措施對策

目錄前言 6第一章計算機網絡安全的概述 71.1計算機網絡安全的含義 7第二節計算機網絡安全的理論基礎 8第三節計算機網絡安全應具備的功能 9第四節網絡安全策略 10一、安全策略分類 10二、安全策略的配置 10第二章計算機網絡不安全因素 11第一節計算機網絡的脆弱性 11第二節網絡開放性帶來的問題 12第三節操作系統存在的安全問題 13第四節防火墻的脆弱性 14第三章提高計算機網絡安全技術 15第一節網絡安全的審計和跟蹤技術 15第二節網絡安全管理 16第三節運用防火墻技術及工作原理 17第四節數據加密技術 19第五節網絡病毒防范 20第四章網絡安全體系架構 21第五章網絡安全防范 22第一節Telnet入侵防范 22第二節防止Administrator賬號被破解 22第三節網頁惡意代碼及防范 23一、目前，網頁中的惡意代碼開始威脅到網絡系統安全，一般分為以下幾種： 23二、網頁惡意代碼的防范措施： 23第四節“木馬”防范措施 24一、“木馬”概述 24二、“木馬”防范措施 25結論 26結束語 27參考文獻 29前言隨著計算機信息化建設的飛速發展，計算機已普遍應用到日常工作、生活的每一個領域，我們在計算機上處理業務已由單機處理功能發展到面向內部局域網、全球互聯網世界范圍內的信息共享和業務處理功能。網絡信息已經成為社會發展的重要組成部分。但隨之而來的是，計算機網絡安全受到前所未有的威脅，由于計算機網絡組成形式多樣性、終端分布廣和網絡的開放性、互聯性等特征，使得這些網絡信息容易受到來自世界各地的人為攻擊（例如：信息泄露、竊取、數據篡改、數據刪添、計算機病毒等）。要保護這些信息就需要有一套完善的網絡安全保護機制，然而信息化的不斷擴展，各類網絡版應用軟件推廣應用、計算機網絡在提高數據傳輸效率，實現數據集中、數據共享等方面發揮著越來越重要的作用，網絡與信息系統建設已逐步成為各項工作的重要基礎設施。為了確保各項工作的安全高效運行，保證網絡信息安全以及網絡硬件及軟件系統的征程順利運轉是基本前提，因此計算機網絡和系統安全建設就顯得尤為重要，計算機網絡技術的發展，網絡的安全性和可靠性已成為不同使用層次的用戶共同關心的問題。

第一章計算機網絡安全的概述1.1計算機網絡安全的含義計算機網絡安全是指利用網絡管理控制和技術措施，保證在一個網絡環境里，數據的保密性、完整性及可適用性受到保護。網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。計算機網絡安全的具體含義會隨著使用者的變化而變化，使用者的不同，對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而網絡提供商除了關心這些網絡信息安全外，還要考慮如何應付突發的災害，軍事打擊等對網絡硬件的破壞，以及在網絡出現異常時如何恢復網絡通信，保持網絡通信的連續性。從本質上來講，網絡安全包括組成網絡系統的硬件、軟件極其在網絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網絡安全既有技術方面的，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。計算機網絡安全包括兩個方面，即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括信息的保密性、完整性和可用性。計算機網絡安全的具體含義會隨著使用者的變化而變化，使用者的不同，對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而網絡提供商除了關心這些網絡信息安全外，還要考慮如何應付突發的災害，軍事打擊等對網絡硬件的破壞，以及在網絡出現異常時如何恢復網絡通信，保持網絡通信的連續性。從本質上來講，網絡安全包括組成網絡系統的硬件、軟件極其在網絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網絡安全既有技術方面的，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。網絡安全的具體含義會隨著“角度”的變化而變化。比如：從用戶（個人、企業等）角度，他們希望涉及個人隱私或商業利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護，避免其他人利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。從網絡運行和管理者角度說，他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制，避免出現病毒、非法存取、拒絕服務和網絡資源非法占用和非法控制等威脅，制止和防御網絡黑客的攻擊。網絡安全的基本組成：（1）網絡實體安全：如計算機的物理條件、物理環境及設施的安全標準，計算機硬件、附屬設備及網絡傳輸線路的安裝及配置等；（2）軟件安全：如保護網絡系統不被非法侵入，系統軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等；（3）數據安全：如保護網絡信息的數據安全，不被非法存取，保護其完整、一致等；（4）網絡安全管理：如運行時突發事件的安全處理等，包括采取計算機安全技術，建立安全管理制度，開展安全審計，進行風險分析等內容。1.2計算機網絡安全的理論基礎國際標準化組織（ISO）曾建議計算機安全的定義為：“計算機系統要保護其硬件、數據不被偶然或故意地泄露、更改和破壞。”為了昂住計算機用戶區分和解決計算機網絡安全問題，對多用戶計算機系統安全級別的劃分進行了規定。在網絡的具體設計過程中，應根據網絡總體規劃中提出的各項技術規范、設備類型、性能要求以及經費等，綜合考慮來確定一個比較合理、性能較高的網絡安全級別，從而實現網絡的安全性和可靠性。第三節計算機網絡安全應具備的功能網絡安全應具備的功能，為了能更好地適應信息技術的發展，計算機網絡應用系統必須具備以下功能：1.訪問控制：通過對特定網段、服務建立的訪問控制體系，將絕大多數攻擊阻止在到達攻擊目標之前。2.檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數攻擊無效。3.攻擊監控：通過對特定網段、服務建立的攻擊監控體系，可實時檢測出絕大多數攻擊，并采取響應的行動（如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等）。4.加密通訊：主動加密通訊，可使攻擊者不能了解、修改敏感信息。5.備份和恢復：良好的備份和恢復機制，可在攻擊造成損失前，盡快的恢復數據和系統服務。6.多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標。第四節網絡安全策略策略通常是一般性的規范，只提出相應的重點，而不確切地說明如何達到所要的結果，因此策略屬于安全技術規范的最高一級。一、安全策略分類安全策略分為基于身份的安全策略和基于規則的安全策略。基于身份的安全策略是過濾對數據或資源的訪問，有兩種執行方法：若訪問權限為訪問者所有，典型的作法為特權標記或特殊授權，即僅為用戶及相應活動進程進行授權；若為訪問數據所有則可以采用訪問控制表（ACL）。著兩種情況中，數據項的大小有很大的變化，數據項的大小有很大的變化，數據權力命名也可以帶自己的ACL。基于規則的安全策略是指建立在特定的，個性化屬性之上的授權準則，授權通常依賴于敏感性。在一個安全系統中，數據或資源應該標注安全標記，而且用戶活動應該得到相應的安全標記。二、安全策略的配置開放式網絡環境下用戶的合法權益通常受到兩種方式的侵害：主動攻擊和被動攻擊，主動攻擊包括對用戶信息的竊取，對信息流量的分析。根據用戶對安全的需求才可用采用以下的保護：1.身份認證：檢驗用戶的身份是否合法、防止身份冒充、及對用戶實時訪問控制數據完整性鑒別、防止數據被偽造、修改和刪除。2.信息保密：防止用戶數據被泄、竊取、保護用戶的隱私。3.數字簽名：防止用戶否認對數據所做的處理。4.訪問控制：對用戶的訪問權限進行控制。5.不可否認性：也稱不可抵賴性，即防止對數據操作的否認。第二章計算機網絡不安全因素第一節計算機網絡的脆弱性造成計算機網絡安全問題的因素很多，但是可以把他們歸納為兩大類：即外在的威脅和內在的脆弱性。從威脅的角度來看，潛在的威脅源增多，威脅發生的可能性增大，如果把威脅看作外因，那么系統不安全的內因，也可以說最根本的原因，在于計算機網絡本身存在脆弱性，而且這種脆弱性問題也越來越嚴重。互聯網是對全世界都開放的網絡，任何單位或個人都可以在網上方便地傳輸和獲取各種信息，互聯網這種具有開放性、共享性、國際性的特點就對計算機網絡安全提出了挑戰。互聯網的不安全性主要有幾點：1.網絡的開放性，網絡的技術是全開放的，是的網絡所面臨的攻擊來自多方面。或者來自物理傳輸線路的攻擊，或者來自對網絡通信協議的攻擊，以及對計算軟件、硬件的漏洞實施攻擊。2.網絡的國際性，意味著對網絡的攻擊不僅是來自本地網絡的用戶，還可以是互聯網上其他國家的黑客，所以，網絡的安全面臨著國際化的挑戰。3.網絡的自由性，大多數的網絡對用戶的使用沒有技術上的約束，用戶可以自由的上網，發布和獲取各類信息。第二節網絡開放性帶來的問題眾所周知，Internet是開放的，而開放的信息系統必然存在眾多潛在的安全隱患，黑客和反黑客、破壞和反破壞的斗爭仍將繼續。在這樣的斗爭中，安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。為了解決這些安全問題，各種安全機制、策略和工具被研究和應用。然而，即使在使用了現有的安全工具和機制的情況下，網絡的安全仍然存在很大隱患，這些安全隱患主要可以歸結為以下幾點：（一）每一種安全機制都有一定的應用范圍和應用環境防火墻是一種有效的安全工具，它可以隱蔽內部網絡結構，限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問，防火墻往往是無能為力的。因此，對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為，防火墻是很難發覺和防范的。（二）安全工具的使用受到人為因素的影響一個安全工具能不能實現期望的效果，在很大程度上取決于使用者，包括系統管理者和普通用戶，不正當的設置就會產生不安全因素。例如，NT在進行合理的設置后可以達到C2級的安全性，但很少有人能夠對NT本身的安全策略進行合理的設置。雖然在這方面，可以通過靜態掃描工具來檢測系統是否進行了合理的設置，但是這些掃描工具基本上也只是基于一種缺省的系統安全策略進行比較，針對具體的應用環境和專門的應用需求就很難判斷設置的正確性。（三）系統的后門是傳統安全工具難于考慮到的地方防火墻很難考慮到這類安全問題，多數情況下這類入侵行為可以堂而皇之經過防火墻而很難被察覺。比如說，眾所周知的ASP源碼問題，這個問題在IIS服務器4.0以前一直存在，它是IIS服務的設計者留下的一個后門，任何人都可以使用瀏覽器從網絡上方便地調出ASP程序的源碼，從而可以收集系統信息，進而對系統進行攻擊。對于這類入侵行為，防火墻是無法發覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區別是入侵訪問在請求鏈接中多加了一個后綴。（四）黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統安全問題出現然而安全工具的更新速度太慢，絕大多數情況需要人為的參與才能發現以前未知的安全問題，這就使得它們對新出現的安全問題總是反應太慢。當安全工具剛發現并努力更正某方面的安全問題時，其他的安全問題又出現了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。第三節操作系統存在的安全問題操作系統是作為一個支撐軟件，是的你的成勛或別的運用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能，主要是管理系統的軟件資源和硬件資源，操作系統軟件自身的不安全性，系統開發設計的不周而留下的破綻，都給網絡安全留下隱患。1.操作系統結構體系的缺陷：操作系統本身有內存管理、CPU管理、外設的管理，每個管理都涉及到一些模板或程序，在這些程序里面存在問題，比如內存管理的問題，外部網絡的一個連接，剛好連接一個有缺陷的模塊，可能出現的情況是，計算機系統會因此崩潰。所以，有些黑客往往是針對操作系統的不完善進行攻擊，使計算機系統，特別是服務器系統立刻癱瘓。2.操作系統支持在網絡上傳送文件、加載或安裝程序，包括可執行文件，這些功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能，比如FTP，這些安裝程序經常會帶一些可執行文件，這些可執行文件都是人為編寫的程序，如果某個地方出現漏洞，那么系統可能就會造成崩潰。像遠程調用、文件傳輸，如果安裝間諜程序，在使用過程都會被人監視，所有的這些都可能給操作系統帶來安全隱患，建議盡量少使用一些來歷不明，或者無法證明其安全性的軟件。3.操作系統的后門和漏洞，后門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法。在軟件開發階段，程序員利用軟件的后門程序得意方便修改程序設計中的不足。一旦后門被黑利用，或在發布軟件前沒有刪除后門程序，容易被黑客當成漏洞進行攻擊，造成信息泄露和丟失。此外，操作系統的無口令的入口，也是信息安全存在的隱患。第四節防火墻的脆弱性防火墻是一種隔離控制技術，通過預定義的安全策略，對內外網通信強制實施訪問控制，常用的防火墻技術包括過濾技術、狀態監測技術、應用網關技術。過濾技術是指在網絡層中對數據包實施有選擇的通過，依據系統事先設定好的過濾邏輯，檢查數據據流中每個數據包，根據數據包的源地址、目標地址、以及所使用的端口確定是否允許該類數據包通過；狀態檢測技術采用的是一種基于連接的狀態機制，將屬于統一連接的所有座位一個整體的數據流看待，構成連接狀態表，通過規則表與狀態表的共同配合，對表中的各個連接狀態因素加以識別，與傳統過濾防火墻的靜態過濾規則表相比，它具有更好的靈活性和安全性；應用網關技術在應用層實現，它使用一個運行特殊的“通信數據安全檢查”軟件的工作站來連接被保護網絡和其他網絡，其目的在于隱蔽被保護網絡的具體細節，保護其中的主機及其數據。防火墻由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障，它是一種計算機硬件和軟件的結合體，使用I奈特人net與Intranet之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入。單防火墻只能提供網絡的安全性，不能保證網絡的絕對安全，它也難以防范網絡內部的攻擊和病毒的侵犯，并不要指望防火墻靠自身就能夠給予計算機安全。防火墻保護你免受一類攻擊的威脅，但是卻不能防止從LAN內部的攻擊，若是內部的人和外部的人聯合起來，既是防火墻在強，也沒有優勢，它甚至不能保護你免受所有那些它能檢測到的攻擊，隨著技術的發展，還有一些破解方法也使得防火墻造成一定隱患，這就是防火墻的局限性。第三章提高計算機網絡安全技術第一節網絡安全的審計和跟蹤技術審計和跟蹤這種機制一般情況下并不干涉和直接影響主業務流程，而是通過對主業務進行記錄、檢查、監控等來完成以審計、完整性等要求為主的安全功能。審計和跟蹤所包括的典型技術有：入侵檢測系統（IDS）、漏洞掃描系統、安全審計系統，等等。我們以IDS為例，IDS是作為防火墻的合理補充，能夠幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。入侵檢測是一種主動保護網絡和系統安全的技術，它從計算機系統或網絡中采集、分析數據，查看網絡或主機系統中是否有違反安全策略的行為和遭到攻擊的跡象，并采取適當的響應措施來阻擋攻擊，降低可能的損失。它能提供對內部攻擊、外部攻擊和誤操作的保護。入侵檢測系統可分為基于主機的入侵檢測系統和基于網絡的入侵檢測系統兩類。第二節網絡安全管理面對玩過安全的脆弱性，除了在網絡設計上增加安全服務功能，完善系統的安全保密設施外，還必須花大力氣加強網絡安全管理，因為諸多的不安全因素恰恰反映了組織管理和人員錄用等方面，而這又是計算機網絡安全所必須考慮的問題。安全管理的實現信息系統的安全管理部門應根據管理原則和該系統處理數據的保密性，制定相應的管理制度或采用相應的規范，具體工作如下：eq\o\ac(○,1)根據工作的重要程度，確定該系統的安全等級。eq\o\ac(○,2)根據確定的安全等級，確定安全管理范圍。eq\o\ac(○,3)制訂相應的機房出入管理制度，對于安全等級要求搞的系統，要實行分區。第三節運用防火墻技術及工作原理防火墻是目前最為流行、使用最廣泛的一種網絡安全技術，它的核心思想是在不安全的網絡環境中構造一個相對安全的子網環境。防火墻的最大優勢就在于可以對兩個網絡之間的訪問策略進行控制，限制被保護的網絡與互聯網絡之間，或者與其他網絡之間進行的信息存取、傳遞操作。它具有以下特性：所有的從內部到外部或從外部到內部的通信都必須經過它；只有內部訪問策略授權的通信才允許通過；系統本身具有高可靠性。不僅如此，防火墻作為網絡安全的監視點，它還可以記錄所有通過它的訪問，并提供統計數據，提供預警和審計功能。防火墻的體系結構有三種：（1）雙重宿主主機體系結構。它是圍繞具有雙重宿主功能的主機而構筑的，是最基本的防火墻結構。主機充當路由器，是內外網絡的接口，能夠從一個網絡向另一個網絡發送IP數據包。這種類型的防火墻完全依賴于主機，因此該主機的負載一般較大，容易成為網絡瓶頸。對于只進行IP層過濾的安全要求來說，只需在兩塊網卡之間轉發的模塊上插入對IP包的ACL控制即可。但是如果要對應用層進行代理控制，其代理就要設置到這臺雙宿主主機上，所有的應用要先于這個主機進行連接。這樣每個人都需要有一個登錄賬號，增加了聯網的復雜性。（2）屏蔽主機體系結構，又稱主機過濾結構，它使用一個單獨的路由器來提供內部網絡主機之間的服務，在這種體系結構中，主要的安全機制由數據包過濾系統來提供。相對于雙重宿主主機體系結構，這種結構允許數據包從Internet上進入內部網絡，因此對路由器的配置要求較高。（3）屏蔽子網體系結構。它是在屏蔽主機體系結構基礎上添加額外的安全層，并通過添加周邊網絡更進一步把內部網絡和Internet隔離開。為此這種結構需要兩個路由器，一個位于周邊網絡和內部網絡之間，另一個在周邊網絡和外部網絡之間，這樣黑客即使攻破了堡壘主機，也不能直接入侵內部網絡，因為他還需要攻破另外一個路由器。從防火墻的作用可以看出，防火墻必須具備兩個要求：保障內部網安全和保障內部網和外部網的聯通。因此在邏輯上防火墻是一個分離器、限制器、分析器。防火墻根據功能實現在TCP/IP網絡模型中的層次，其實現原理可以分為三類：在網絡層實現防火墻功能為分組過濾技術；在應用層實現防火墻功能為代理服務技術；在網絡層，IP層，應用層三層實現防火墻為狀態檢測技術。（1）分組過濾技術實際上是基于路由器技術，它通常由分組過濾路由器對IP分組進行分組選擇，允許或拒絕特定的IP數據包，工作于IP層。（2）代理服務技術以一個高層的應用網關作為代理服務器，接受外來的應用連接請求，在代理服務器上進行安全檢查后，再與被保護的應用服務器連接，使外部用戶可以在受控制的前提下使用內部網絡的服務，由于代理服務作用于應用層，它能解釋應用層上的協議，能夠作復雜和更細粒度的訪問控制；同時，由于所有進出服務器的客戶請求必須通過代理網關的檢查，可以作出精細的注冊和審計記錄，并且可以與認證、授權等安全手段方便地集成，為客戶和服務提供更高層次的安全保護。（3）狀態檢測技術此技術工作在IP/TCP/應用層，它結合了分組過濾和代理服務技術的特點，它同分組過濾一樣，在應用層上檢查數據包的內容，分析高層的協議數據，查看內容是否符合網絡安全策略。實際上，作為當前防火墻產品的主流趨勢，大多數代理服務器（也稱應用網關）也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優勢，由于這種產品是基于應用的，應用網關能提供對協議的過濾。例如，它可以過濾掉FTP鏈接中的PUT命令，而且通過代理應用，應用網關能夠有效地避免內部網絡的信息外泄，證實由于應用網關的這些特點，使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響。第四節數據加密技術數據加密技術就是對信息進行重新編碼，從而隱藏信息內容，使非法用戶無法獲取信息的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性，防止秘密數據被外部破析所采用的主要手段之一。數據加密技術按作用不同可分為數據存儲，數據傳輸、數據完整性的鑒別，以及密鑰的管理技術。數據存儲加密技術是防止在存儲環節上的數據丟失為目的，可分為密文存儲和存取兩種，數據傳輸加密技術的目的是對傳輸中的數據流加密。數據完整性鑒別是對介入信息的傳送、存取，處理人的身份和相關數據內容進行驗證，達到保密的要求，系統通過對比驗證對輸入的特征值是否符合預先設定的參數，實現對數據的安全保護。主要存在兩種主要的加密類型：私匙加密和公匙加密。1.私匙加密。私匙加密又稱為密匙加密，因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性，它不提供認證，因為使用該密匙的任何人都可以創建、加密和平共處送一條有效的消息。這種加密方法的優點是速度很快，很容易在硬件和軟件中實現。2.公匙加密。公匙加密比私匙加密出現得晚，私匙加密使用同一個密匙加密和解密，而公匙加密使用兩個密匙，一個用于加密信息，另一個用于解密信息。公匙加密系統的缺點是它們通常是計算密集的，因而比私匙加密系統的速度慢的多，不過若將兩者結合起來，就可以得到一個更復雜的系統。防火墻是網絡訪問控制設備，用于拒絕除了明確允許通過之外的所有通信數據，它不同于只會確定網絡信息傳輸方向的簡單路由器，而是在網絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。大多數防火墻都采用幾種功能相結合的形式來保護自己的網絡不受惡意傳輸的攻擊，其中最流行的技術有靜態分組過濾、動態分組過濾、狀態過濾和代理服務器技術，他們的安全級別依次升高，但具體實踐中既要考慮體系的性價比，又要考慮安全兼顧網絡連接能力。此外，現今良好的防火墻還采用了VPN、檢視和入侵檢測技術。第五節網絡病毒防范在網絡環境下，病毒傳播擴散快，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有適合于局域網的全方位防病毒產品。學校、政府機關、企事業單位等網絡一般是內部局域網，就需要一個基于服務器操作系統平臺的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果與互聯網相連，就需要網關的防病毒軟件，加強上網計算機的安全。如果在網絡內部使用電子郵件進行信息交換，還需要一套基于郵件服務器平臺的郵件防病毒軟件，識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產品，針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件，通過全方位、多層次的防病毒系統的配置，通過定期或不定期的自動升級，及時為每臺客戶端計算機打好補丁，加強日常監測，使網絡免受病毒的侵襲。第四章網絡安全體系架構網絡安全的任何一項工作，都必須在網絡安全組織、網絡安全策略、網絡安全技術、網絡安全運行體系的總和作用下才能取得成效。首先必須有具體的人和組織來承擔安全工作，并且賦予組織相應的責任權；其實必須有相應的安全策略來指導和規范安全工作的開展；再次若有了安全組織、安全目標和安全策略后，需要選擇合適的安全技術方案來滿足安全目標；最后在確定了安全組織、安全策略、安全技術后、必須通過規范的運作過程來實施安全工作，將安全組織、安全策略和安全技術有機地結合起來，形成了一個相符推動、相互聯系地整體，通過實際的工程運作和動態的運營維護，最終實現安全工作目標。完善的網絡安全體系應包括安全策略體系、安全組織體系、安全技術體系、安全運作體系。第五章網絡安全防范第一節Telnet入侵防范Telnet協議是TCP/IP協議族中的一員，是Internet遠程登錄服務的標準協議和主要方式。它為用戶提供了在本地計算機上完成遠程主機工作的能力。在終端使用者的電腦上使用telnet程序，用它連接到服務器。終端使用者可以在telnet程序中輸入命令，這些命令會在服務器上運行，就像直接在服務器的控制臺上輸入一樣。可以在本地就能控制服務器。要開始一個telnet會話，必須輸入用戶名和密碼來登錄服務器。Telnet是常用的遠程控制Web服務器的方法。telnet可能是黑客常用的攻擊方式，我們可以通過修改telnet服務端口，停用telnet服務，甚至把telnet控制臺管理工具刪除。第二節防止Administrator賬號被破解Windows2000/xp/2003系統的Administrator賬號是不能被停用的，也不能設置安全策略，這樣黑客就可以一遍又一遍地嘗試這個賬號的密碼，直到被破解，為了防止這種侵入，我們可以把Administrator賬號更名：在“組策略”窗口中，依次展開“本地計算機策略”/“計算機配置”/“windows設置”/“安全設置”/“本地策略”/“安全選項”功能分支。（如圖4.1）重命名系統管理員帳戶“屬性”對話框，在此輸入新的管理員名稱，盡量把它為普通用戶，然后另建一個超過10位的超級復雜密碼，并對該賬號啟用審核，這樣即使黑客費力破解到密碼也殺一無所獲。另外為了防止黑客通過Guest賬號登錄計算機，可以在“組策略”中刪除Guest賬號。。第三節網頁惡意代碼及防范一、目前，網頁中的惡意代碼開始威脅到網絡系統安全，一般分為以下幾種：（1）消耗系統資源。（2）非法向用戶硬盤寫入文件。（3）IE泄露，利用IE漏洞，網頁可以讀取客戶機的文件，就可以從中獲得用戶賬號和密碼。（4）利用郵件非法安裝木馬。二、網頁惡意代碼的防范措施：1）運行IE時，點擊“工具→Internet選項→安全→Internet區域的安全級別”，把安全級別由“中”改為“高”（如圖4.2）。網頁惡意代碼主要是含有惡意代碼的ActiveX或Ap