1 緒論

隨著互聯(lián)網(wǎng)的飛速發(fā)展,，網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問題，其中也會(huì)涉及到是否構(gòu)成犯罪行為的問題。在其最簡(jiǎn)單的形式中，它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取,，更不能修改傳送給其他接收者的信息。此時(shí)，它關(guān)心的對(duì)象是那些無(wú)權(quán)使用,，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題,，以及發(fā)送者是否曾發(fā)送過該條消息的問題,。

大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的?？梢钥闯霰ＷC網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯(cuò)誤,。它包括要防范那些聰明的,，通常也是狡猾的、專業(yè)的,，并且在時(shí)間和金錢上是很充足,、富有的人。同時(shí),，必須清楚地認(rèn)識(shí)到,，能夠制止偶然實(shí)施破壞行為的敵人的方法對(duì)那些慣于作案的老手來(lái)說(shuō)，收效甚微,。

網(wǎng)絡(luò)安全性可以被粗略地分為4個(gè)相互交織的部分：保密,、鑒別、反拒認(rèn)以及完整性控制,。保密是保護(hù)信息不被未授權(quán)者訪問,，這是人們提到的網(wǎng)絡(luò)安全性時(shí)最常想到的內(nèi)容。鑒別主要指在揭示敏感信息或進(jìn)行事務(wù)處理之前先確認(rèn)對(duì)方的身份,。反拒認(rèn)主要與簽名有關(guān),。保密和完整性通過使用注冊(cè)過的郵件和文件鎖來(lái)實(shí)現(xiàn)。

2 方案目標(biāo)

本方案主要從網(wǎng)絡(luò)層次考慮,，將網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)成一個(gè)支持各級(jí)別用戶或用戶群的安全網(wǎng)絡(luò),，該網(wǎng)在保證系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全的同時(shí)，還實(shí)現(xiàn)與Internet或國(guó)內(nèi)其它網(wǎng)絡(luò)的安全互連,。本方案在保證網(wǎng)絡(luò)安全可以滿足各種用戶的需求,，比如：可以滿足個(gè)人的通話保密性，也可以滿足企業(yè)客戶的計(jì)算機(jī)系統(tǒng)的安全保障,，數(shù)據(jù)庫(kù)不被非法訪問和破壞,，系統(tǒng)不被病毒侵犯，同時(shí)也可以防止諸如反動(dòng)淫穢等有害信息在網(wǎng)上傳播等,。

需要明確的是,，安全技術(shù)并不能杜絕所有的對(duì)網(wǎng)絡(luò)的侵?jǐn)_和破壞，它的作用僅在于最大限度地防范,，以及在受到侵?jǐn)_的破壞后將損失盡旦降低,。具體地說(shuō)，網(wǎng)絡(luò)安全技術(shù)主要作用有以下幾點(diǎn)：

1．采用多層防衛(wèi)手段,，將受到侵?jǐn)_和破壞的概率降到最低,；

2．提供迅速檢測(cè)非法使用和非法初始進(jìn)入點(diǎn)的手段，核查跟蹤侵入者的活動(dòng),；

3．提供恢復(fù)被破壞的數(shù)據(jù)和系統(tǒng)的手段,，盡量降低損失；

4．提供查獲侵入者的手段,。

網(wǎng)絡(luò)安全技術(shù)是實(shí)現(xiàn)安全管理的基礎(chǔ),，近年來(lái),，網(wǎng)絡(luò)安全技術(shù)得到了迅猛發(fā)展，已經(jīng)產(chǎn)生了十分豐富的理論和實(shí)際內(nèi)容,。

3 安全需求

通過對(duì)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析及需要解決的安全問題,，我們需要制定合理的安全策略及安全方案來(lái)確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性,、可用性,、可控性與可審查性。即,，

可用性： 授權(quán)實(shí)體有權(quán)訪問數(shù)據(jù)

機(jī)密性： 信息不暴露給未授權(quán)實(shí)體或進(jìn)程

完整性： 保證數(shù)據(jù)不被未授權(quán)修改

可控性： 控制授權(quán)范圍內(nèi)的信息流向及操作方式

可審查性：對(duì)出現(xiàn)的安全問題提供依據(jù)與手段

訪問控制：需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離,，對(duì)與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制,。同樣,，對(duì)內(nèi)部網(wǎng)絡(luò)，由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別,，也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離,，并實(shí)現(xiàn)相互的訪問控制。

數(shù)據(jù)加密：數(shù)據(jù)加密是在數(shù)據(jù)傳輸,、存儲(chǔ)過程中防止非法竊取,、篡改信息的有效手段。

安全審計(jì)： 是識(shí)別與防止網(wǎng)絡(luò)攻擊行為,、追查網(wǎng)絡(luò)泄密行為的重要措施之一,。具體包括兩方面的內(nèi)容,，一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng),，識(shí)別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為，即時(shí)響應(yīng)（如報(bào)警）并進(jìn)行阻斷,；二是對(duì)信息內(nèi)容的審計(jì),，可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏

4 風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)安全是網(wǎng)絡(luò)正常運(yùn)行的前提。網(wǎng)絡(luò)安全不單是單點(diǎn)的安全,，而是整個(gè)信息網(wǎng)的安全,，需要從物理、網(wǎng)絡(luò),、系統(tǒng),、應(yīng)用和管理方面進(jìn)行立體的防護(hù)。要知道如何防護(hù),，首先需要了解安全風(fēng)險(xiǎn)來(lái)自于何處,。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層,、系統(tǒng)層,、網(wǎng)絡(luò)層,、應(yīng)用層和管理層各個(gè)層面上的諸多風(fēng)險(xiǎn)類。無(wú)論哪個(gè)層面上的安全措施不到位,，都會(huì)存在很大的安全隱患,，都有可能造成網(wǎng)絡(luò)的中斷。根據(jù)國(guó)內(nèi)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況,，應(yīng)當(dāng)從網(wǎng)絡(luò)安全,、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進(jìn)行全面地分析,。

風(fēng)險(xiǎn)分析是網(wǎng)絡(luò)安全技術(shù)需要提供的一個(gè)重要功能,。它要連續(xù)不斷地對(duì)網(wǎng)絡(luò)中的消息和事件進(jìn)行檢測(cè)，對(duì)系統(tǒng)受到侵?jǐn)_和破壞的風(fēng)險(xiǎn)進(jìn)行分析,。風(fēng)險(xiǎn)分析必須包括網(wǎng)絡(luò)中所有有關(guān)的成分,。

5 解決方案

5.1 設(shè)計(jì)原則

針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際情況，解決網(wǎng)絡(luò)的安全保密問題是當(dāng)務(wù)之急,，考慮技術(shù)難度及經(jīng)費(fèi)等因素,，設(shè)計(jì)時(shí)應(yīng)遵循如下思想：

1．大幅度地提高系統(tǒng)的安全性和保密性；

2．保持網(wǎng)絡(luò)原有的性能特點(diǎn),，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性,；

3．易于操作、維護(hù),，并便于自動(dòng)化管理,，而不增加或少增加附加操作；

4．盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展,；

5．安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資,，可以長(zhǎng)期使用,；

6．安全與密碼產(chǎn)品具有合法性，及經(jīng)過國(guó)家有關(guān)管理部門的認(rèn)可或認(rèn)證,；

7．分步實(shí)施原則：分級(jí)管理 分步實(shí)施,。

5.2 安全策略

針對(duì)上述分析，我們采取以下安全策略：

1．采用漏洞掃描技術(shù),，對(duì)重要網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估,，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運(yùn)行。

2．采用各種安全技術(shù),，構(gòu)筑防御系統(tǒng),，主要有：

(1) 防火墻技術(shù)：在網(wǎng)絡(luò)的對(duì)外接口，采用防火墻技術(shù),，在網(wǎng)絡(luò)層進(jìn)行訪問控制,。

(2) NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息,。

(3) VPN：虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。它通過安全的數(shù)據(jù)通道將遠(yuǎn)程用戶,、公司分支機(jī)構(gòu),、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來(lái)，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng),。在該網(wǎng)中的主機(jī)將不會(huì)覺察到公共網(wǎng)絡(luò)的存在,，仿佛所有的機(jī)器都處于一個(gè)網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨(dú)占使用,，而事實(shí)上并非如此,。

(4）網(wǎng)絡(luò)加密技術(shù)(Ipsec) ：采用網(wǎng)絡(luò)加密技術(shù)，對(duì)公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝,，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題,，也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題,。

(5) 認(rèn)證：提供基于身份的認(rèn)證，并在各種認(rèn)證機(jī)制中可選擇使用,。

(6) 多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng)：采用多層次多級(jí)別的企業(yè)級(jí)的防病毒系統(tǒng),，對(duì)病毒實(shí)現(xiàn)全面的防護(hù)。

(7）網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)測(cè)：采用入侵檢測(cè)系統(tǒng),，對(duì)主機(jī)和網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)和預(yù)警,，進(jìn)一步提高網(wǎng)絡(luò)防御外來(lái)攻擊的能力。

3．實(shí)時(shí)響應(yīng)與恢復(fù)：制定和完善安全管理制度,，提高對(duì)網(wǎng)絡(luò)攻擊等實(shí)時(shí)響應(yīng)與恢復(fù)能力,。

4．建立分層管理和各級(jí)安全管理中心。

5.3 防御系統(tǒng)

我們采用防火墻技術(shù),、NAT技術(shù),、VPN技術(shù),、網(wǎng)絡(luò)加密技術(shù)（Ipsec）,、身份認(rèn)證技術(shù)、多層次多級(jí)別的防病毒系統(tǒng),、入侵檢測(cè)技術(shù),，構(gòu)成網(wǎng)絡(luò)安全的防御系統(tǒng)。

5.3.1 物理安全

物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備,、設(shè)施以及其它媒體免遭地震,、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程,。

為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全,，還要防止系統(tǒng)信息在空間的擴(kuò)散,。通常是在物理上采取一定的防護(hù)措施，來(lái)減少或干擾擴(kuò)散出去的空間信號(hào),。這是政府,、軍隊(duì)、金融機(jī)構(gòu)在興建信息中心時(shí)首要的設(shè)置的條件,。

為保證網(wǎng)絡(luò)的正常運(yùn)行,，在物理安全方面應(yīng)采取如下措施：

1．產(chǎn)品保障方面：主要指產(chǎn)品采購(gòu)、運(yùn)輸,、安裝等方面的安全措施,。

2．運(yùn)行安全方面：網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中,，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù),。對(duì)一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng),。

3．防電磁輻射方面：所有重要涉密的設(shè)備都需安裝防電磁輻射產(chǎn)品,，如輻射干擾機(jī)。

4．保安方面：主要是防盜,、防火等,，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī),、安全設(shè)備的安全防護(hù),。

5.3.2 防火墻技術(shù)

防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞,。在邏輯上,，防火墻是一個(gè)分離器，一個(gè)限制器,，也是一個(gè)分析器,，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)地安全,；在物理實(shí)現(xiàn)上,，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備DD路由器、計(jì)算機(jī)或其他特制地硬件設(shè)備,。防火墻可以是獨(dú)立地系統(tǒng),，也可以在一個(gè)進(jìn)行網(wǎng)絡(luò)互連地路由器上實(shí)現(xiàn)防火墻。用防火墻來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：

（1）屏蔽路由器：又稱包過濾防火墻,。

（2）雙穴主機(jī)：雙穴主機(jī)是包過濾網(wǎng)關(guān)的一種替代,。

（3）主機(jī)過濾結(jié)構(gòu)：這種結(jié)構(gòu)實(shí)際上是包過濾和代理的結(jié)合。

（4）屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的變形。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型,、網(wǎng)絡(luò)地址轉(zhuǎn)換―NAT,、代理型和監(jiān)測(cè)型。

5.3.2.1 包過濾型

包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù),。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址,、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等,。防火墻通過讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些“包”是否來(lái)自可信任的安全站點(diǎn) ,一旦發(fā)現(xiàn)來(lái)自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外,。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。 包過濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全,。 但包過濾技術(shù)的缺陷也是明顯的,。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無(wú)法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒,。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻,。

5.3.2.2 網(wǎng)絡(luò)地址轉(zhuǎn)化―NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的,、注冊(cè)的IP地址標(biāo)準(zhǔn),。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址,。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí),，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口,，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí),，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,，而只是通過一個(gè)開放的IP地址和端口來(lái)請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來(lái)判斷這個(gè)訪問是否安全,。當(dāng)符合規(guī)則時(shí),，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求,，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中,。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的,，不能被接受,，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來(lái)說(shuō)是透明的,，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可,。

5.3.2.3 代理型

代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展,。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流,。從客戶機(jī)來(lái)看,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來(lái)看,代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī),。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng),。 代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性,。

5.3.2.4 監(jiān)測(cè)型

監(jiān)測(cè)型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義,。監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè),在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入,。同時(shí),這種檢測(cè)型防火墻產(chǎn)品一般還帶有分布式探測(cè)器,這些探測(cè)器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來(lái)自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用,。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來(lái)自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品,雖然監(jiān)測(cè)型防火墻安全性上已超越了包過濾型和代理服務(wù)器型防火墻,但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測(cè)型防火墻,?；趯?duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本,。 實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì),大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì),。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄,。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上,。

相關(guān)性：畢業(yè)論文,免費(fèi)畢業(yè)論文,大學(xué)畢業(yè)論文,畢業(yè)論文模板

5.3.3 VPN技術(shù)

VPN的安全保證主要是通過防火墻技術(shù)、路由器配以隧道技術(shù),、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn),，可以保證企業(yè)員工安全地訪問公司網(wǎng)絡(luò)。

VPN有三種解決方案：

（1）如果企業(yè)的內(nèi)部人員移動(dòng)或有遠(yuǎn)程辦公需要,，或者商家要提供B2C的安全訪問服務(wù),，就可以考慮使用遠(yuǎn)程訪問虛擬網(wǎng)（Access VPN）。

AccessVPN通過一個(gè)擁有專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施,，提供對(duì)企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問,。AccessVPN能使用戶隨時(shí)、隨地以所需的方式訪問企業(yè)資源,。最適用于公司內(nèi)部經(jīng)常有流動(dòng)人員遠(yuǎn)程辦公的情況,。出差員工利用當(dāng)?shù)豂SP提供的VPN服務(wù)，就可以和公司的VPN網(wǎng)關(guān)建立私有的隧道連接,。

（2）如果要進(jìn)行企業(yè)內(nèi)部各分支機(jī)構(gòu)的互連,，使用企業(yè)內(nèi)部虛擬網(wǎng)(Intranet VPN)是很好的方式。越來(lái)越多的企業(yè)需要在全國(guó)乃至全世界范圍內(nèi)建立各種辦事機(jī)構(gòu),、分公司,、研究所等，各個(gè)分公司之間傳統(tǒng)的網(wǎng)絡(luò)連接方式一般是租用專線。顯然,，在分公司增多,、業(yè)務(wù)范圍越來(lái)越廣時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)也趨于復(fù)雜,，所以花的費(fèi)用也越來(lái)越大,。利用VPN特性可以在Internet上組建世界范圍內(nèi)的Intranet VPN。利用Internet的線路保證網(wǎng)絡(luò)的互聯(lián)性,，利用隧道,、加密等VPN特性可以保證信息在整個(gè)Internet VPN上安全傳輸。

（3）如果提供B2B之間的安全訪問服務(wù),，則可以考慮Extranet VPN,。

利用VPN技術(shù)可以組建安全的Exrranet。既可以向客戶,、合作伙伴提供有效的信息服務(wù),，又可以保證自身的內(nèi)部網(wǎng)絡(luò)安全。Extranet VPN通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施,，將客戶,，供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng),。企業(yè)擁有專用網(wǎng)絡(luò)的相同政策,，包括安全、服務(wù)質(zhì)量（QoS）,、可管理性和可靠性,。

5.3.4 網(wǎng)絡(luò)加密技術(shù)（Ipsec）

IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層，IP作為網(wǎng)絡(luò)層協(xié)議,，其安全機(jī)制可對(duì)其上層的各種應(yīng)用服務(wù)提供透明的覆蓋式安全保護(hù),。因此，IP安全是整個(gè)TCP/IP安全的基礎(chǔ),，是網(wǎng)絡(luò)安全的核心,。IPSec提供的安全功能或服務(wù)主要包括：

1．訪問控制

2．無(wú)連接完整性

3．?dāng)?shù)據(jù)起源認(rèn)證

4．抗重放攻擊

5．機(jī)密性

6．有限的數(shù)據(jù)流機(jī)密性

信息交換加密技術(shù)分為兩類：即對(duì)稱加密和非對(duì)稱加密。

5.3.4.1 對(duì)稱加密技術(shù)

在對(duì)稱加密技術(shù)中,，對(duì)信息的加密和解密都使用相同的鑰,，也就是說(shuō)一把鑰匙開一把鎖。這種加密方法可簡(jiǎn)化加密處理過程,，信息交換雙方都不必彼此研究和交換專用的加密算法,。如果在交換階段私有密鑰未曾泄露，那么機(jī)密性和報(bào)文完整性就可以得以保證,。對(duì)稱加密技術(shù)也存在一些不足,，如果交換一方有N個(gè)交換對(duì)象,，那么他就要維護(hù)N個(gè)私有密鑰，對(duì)稱加密存在的另一個(gè)問題是雙方共享一把私有密鑰,，交換雙方的任何信息都是通過這把密鑰加密后傳送給對(duì)方的,。如三重DES是DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）的一種變形,，這種方法使用兩個(gè)獨(dú)立的56為密鑰對(duì)信息進(jìn)行3次加密,，從而使有效密鑰長(zhǎng)度達(dá)到112位。

5.3.4.2 非對(duì)稱加密/公開密鑰加密

在非對(duì)稱加密體系中,，密鑰被分解為一對(duì)（即公開密鑰和私有密鑰）,。這對(duì)密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存,。公開密鑰用于加密,，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握,，公開密鑰可廣泛公布,，但它只對(duì)應(yīng)于生成密鑰的交換方。非對(duì)稱加密方式可以使通信雙方無(wú)須事先交換密鑰就可以建立安全通信,，廣泛應(yīng)用于身份認(rèn)證,、數(shù)字簽名等信息交換領(lǐng)域。非對(duì)稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上,，是計(jì)算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果,。最具有代表性是RSA公鑰密碼體制。

5.3.4.3 RSA算法

RSA算法是Rivest,、Shamir和Adleman于1977年提出的第一個(gè)完善的公鑰密碼體制,，其安全性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個(gè)基本事實(shí)：到目前為止,，無(wú)法找到一個(gè)有效的算法來(lái)分解兩大素?cái)?shù)之積,。RSA算法的描述如下： 公開密鑰：n=pq(p、q分別為兩個(gè)互異的大素?cái)?shù),，p,、q必須保密) 與（p-1）(q-1)互素 私有密鑰：d=e-1 {mod(p-1)(q-1)} 加密：c=me(mod n),其中m為明文，c為密文,。 解密：m=cd(mod n) 利用目前已經(jīng)掌握的知識(shí)和理論,，分解2048bit的大整數(shù)已經(jīng)超過了64位計(jì)算機(jī)的運(yùn)算能力，因此在目前和預(yù)見的將來(lái),，它是足夠安全的,。

5.3.5 身份認(rèn)證

在一個(gè)更為開放的環(huán)境中，支持通過網(wǎng)絡(luò)與其他系統(tǒng)相連,，就需要“調(diào)用每項(xiàng)服務(wù)時(shí)需要用戶證明身份,，也需要這些服務(wù)器向客戶證明他們自己的身份,。”的策略來(lái)保護(hù)位于服務(wù)器中的用戶信息和資源,。

5.3.5.1 認(rèn)證機(jī)構(gòu)

CA（Certification Authorty）就是這樣一個(gè)確保信任度的權(quán)威實(shí)體,，它的主要職責(zé)是頒發(fā)證書、驗(yàn)證用戶身份的真實(shí)性,。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明―證書,，任何相信該CA的人，按照第三方信任原則,，也都應(yīng)當(dāng)相信持有證明的該用戶,。CA也要采取一系列相應(yīng)的措施來(lái)防止電子證書被偽造或篡改。構(gòu)建一個(gè)具有較強(qiáng)安全性的CA是至關(guān)重要的,，這不僅與密碼學(xué)有關(guān)系,，而且與整個(gè)PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外,，靈活也是CA能否得到市場(chǎng)認(rèn)同的一個(gè)關(guān)鍵,，它不需支持各種通用的國(guó)際標(biāo)準(zhǔn)，能夠很好地和其他廠家的CA產(chǎn)品兼容,。

5.3.5.2 注冊(cè)機(jī)構(gòu)

RA（Registration Authorty）是用戶和CA的接口,，它所獲得的用戶標(biāo)識(shí)的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對(duì)面的登記,，也必須支持遠(yuǎn)程登記,。要確保整個(gè)PKI系統(tǒng)的安全、靈活,，就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化,、安全的且易于操作的RA系統(tǒng)。

5.3.5.3策略管理

在PKI系統(tǒng)中,，制定并實(shí)現(xiàn)科學(xué)的安全策略管理是非常重要的這些安全策略必須適應(yīng)不同的需求,，并且能通過CA和RA技術(shù)融入到CA 和RA的系統(tǒng)實(shí)現(xiàn)中。同時(shí),，這些策略應(yīng)該符合密碼學(xué)和系統(tǒng)安全的要求,，科學(xué)地應(yīng)用密碼學(xué)與網(wǎng)絡(luò)安全的理論，并且具有良好的擴(kuò)展性和互用性,。

5.3.5.4密鑰備份和恢復(fù)

為了保證數(shù)據(jù)的安全性,，應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的，設(shè)計(jì)和實(shí)現(xiàn)健全的密鑰管理方案,，保證安全的密鑰備份,、更新、恢復(fù),，也是關(guān)系到整個(gè)PKI系統(tǒng)強(qiáng)健性,、安全性,、可用性的重要因素。

5.3.5.5 證書管理與撤消系統(tǒng)

證書是用來(lái)證明證書持有者身份的電子介質(zhì),，它是用來(lái)綁定證書持有者身份和其相應(yīng)公鑰的,。通常，這種綁定在已頒發(fā)證書的整個(gè)生命周期里是有效的,。但是,，有時(shí)也會(huì)出現(xiàn)一個(gè)已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤消，證書撤消的理由是各種各樣的,，可能包括工作變動(dòng)到對(duì)密鑰懷疑等一系列原因,。證書撤消系統(tǒng)的實(shí)現(xiàn)是利用周期性的發(fā)布機(jī)制撤消證書或采用在線查詢機(jī)制,，隨時(shí)查詢被撤消的證書,。

5.3.6多層次多級(jí)別的防病毒系統(tǒng)

防病毒產(chǎn)品可以在每個(gè)入口點(diǎn)抵御病毒和惡意小程序的入侵，保護(hù)網(wǎng)絡(luò)中的PC機(jī),、服務(wù)器和Internet網(wǎng)關(guān),。它有一個(gè)功能強(qiáng)大的管理工具，可以自動(dòng)進(jìn)行文件更新,，使管理和服務(wù)作業(yè)合理化,，并可用來(lái)從控制中心管理企業(yè)范圍的反病毒安全機(jī)制，優(yōu)化系統(tǒng)性能,、解決及預(yù)防問題,、保護(hù)企業(yè)免受病毒的攻擊和危害。

防病毒系統(tǒng)設(shè)計(jì)原則

1．整個(gè)系統(tǒng)的實(shí)施過程應(yīng)保持流暢和平穩(wěn),，做到盡量不影響既有網(wǎng)絡(luò)系統(tǒng)的正常工作,。

2．安裝在原有應(yīng)用系統(tǒng)上的防毒產(chǎn)品必須保證其穩(wěn)定性，不影響其它應(yīng)用的功能,。在安裝過程中應(yīng)盡量減少關(guān)閉和重啟整個(gè)系統(tǒng),。

3．防病毒系統(tǒng)的管理層次與結(jié)構(gòu)應(yīng)盡量符合機(jī)關(guān)自身的管理結(jié)構(gòu)。

4．防病毒系統(tǒng)的升級(jí)和部署功能應(yīng)做到完全自動(dòng)化,，整個(gè)系統(tǒng)應(yīng)具有每日更新的能力,。

5．應(yīng)做到能夠?qū)φ麄€(gè)系統(tǒng)進(jìn)行集中的管理和監(jiān)控，并能?/cn>

將網(wǎng)絡(luò)營(yíng)銷的職能歸納為八個(gè)方面：網(wǎng)站推廣,、網(wǎng)絡(luò)品牌,、信息發(fā)布、在線調(diào)研,、顧客關(guān)系,、顧客服務(wù)、銷售渠道,、銷售促進(jìn),。網(wǎng)絡(luò)營(yíng)銷的職能不僅表明了網(wǎng)絡(luò)營(yíng)銷的作用和網(wǎng)絡(luò)營(yíng)銷工作的主要內(nèi)容,，同時(shí)也說(shuō)明了網(wǎng)絡(luò)營(yíng)銷所應(yīng)該可以實(shí)現(xiàn)的效果，對(duì)網(wǎng)絡(luò)營(yíng)銷職能的認(rèn)識(shí)有助于全面理解網(wǎng)絡(luò)營(yíng)銷的價(jià)值和網(wǎng)絡(luò)營(yíng)銷的內(nèi)容體系,，因此作者認(rèn)為是網(wǎng)絡(luò)營(yíng)銷的職能是網(wǎng)絡(luò)營(yíng)銷的理論基礎(chǔ)之一,。

● 網(wǎng)絡(luò)品牌。網(wǎng)絡(luò)營(yíng)銷的重要任務(wù)之一就是在互聯(lián)網(wǎng)上建立并推廣企業(yè)的品牌,，知名企業(yè)的網(wǎng)下品牌可以在網(wǎng)上得以延伸,，一般企業(yè)則可以通過互聯(lián)網(wǎng)快速樹立品牌形象，并提升企業(yè)整體形象,。網(wǎng)絡(luò)品牌建設(shè)是以企業(yè)網(wǎng)站建設(shè)為基礎(chǔ),，通過一系列的推廣措施，達(dá)到顧客和公眾對(duì)企業(yè)的認(rèn)知和認(rèn)可,。在一定程度上說(shuō),，網(wǎng)絡(luò)品牌的價(jià)值甚至高于通過網(wǎng)絡(luò)獲得的直接收益。

● 網(wǎng)址推廣,。這是網(wǎng)絡(luò)營(yíng)銷最基本的職能之一,，在幾年前，甚至認(rèn)為網(wǎng)絡(luò)營(yíng)銷就是網(wǎng)址推廣,。相對(duì)于其他功能來(lái)說(shuō),，網(wǎng)址推廣顯得更為迫切和重要，網(wǎng)站所有功能的發(fā)揮都要一定的訪問量為基礎(chǔ),，所以,，網(wǎng)址推廣是網(wǎng)絡(luò)營(yíng)銷的核心工作。

● 信息發(fā)布,。網(wǎng)站是一種信息載體,，通過網(wǎng)站發(fā)布信息是網(wǎng)絡(luò)營(yíng)銷的主要方法之一，同時(shí),，信息發(fā)布也是網(wǎng)絡(luò)營(yíng)銷的基本職能,，所以也可以這樣理解，無(wú)論哪種網(wǎng)絡(luò)營(yíng)銷方式,，結(jié)果都是將一定的信息傳遞給目標(biāo)人群,，包括顧客／潛在顧客、媒體,、合作伙伴,、競(jìng)爭(zhēng)者等等。

● 銷售促進(jìn),。營(yíng)銷的基本目的是為增加銷售提供幫助,，網(wǎng)絡(luò)營(yíng)銷也不例外，大部分網(wǎng)絡(luò)營(yíng)銷方法都與直接或間接促進(jìn)銷售有關(guān),，但促進(jìn)銷售并不限于促進(jìn)網(wǎng)上銷售,，事實(shí)上,，網(wǎng)絡(luò)營(yíng)銷在很多情況下對(duì)于促進(jìn)網(wǎng)下銷售十分有價(jià)值。

● 銷售渠道,。一個(gè)具備網(wǎng)上交易功能的企業(yè)網(wǎng)站本身就是一個(gè)網(wǎng)上交易場(chǎng)所,，網(wǎng)上銷售是企業(yè)銷售渠道在網(wǎng)上的延伸，網(wǎng)上銷售渠道建設(shè)也不限于網(wǎng)站本身,，還包括建立在綜合電子商務(wù)平臺(tái)上的網(wǎng)上商店,，以及與其他電子商務(wù)網(wǎng)站不同形式的合作等。

● 顧客服務(wù),?；ヂ?lián)網(wǎng)提供了更加方便的在線顧客服務(wù)手段，從形式最簡(jiǎn)單的FAQ（常見問題解答）,，到郵件列表,，以及BBS、聊天室等各種即時(shí)信息服務(wù),，顧客服務(wù)質(zhì)量對(duì)于網(wǎng)絡(luò)營(yíng)銷效果具有重要影響,。

● 顧客關(guān)系。良好的顧客關(guān)系是網(wǎng)絡(luò)營(yíng)銷取得成效的必要條件,，通過網(wǎng)站的交互性、顧客參與等方式在開展顧客服務(wù)的同時(shí),，也增進(jìn)了顧客關(guān)系,。

● 網(wǎng)上調(diào)研。通過在線調(diào)查表或者電子郵件等方式,，可以完成網(wǎng)上市場(chǎng)調(diào)研,，相對(duì)傳統(tǒng)市場(chǎng)調(diào)研，網(wǎng)上調(diào)研具有高效率,、低成本的特點(diǎn),，因此，網(wǎng)上調(diào)研成為網(wǎng)絡(luò)營(yíng)銷的主要職能之一,。

開展網(wǎng)絡(luò)營(yíng)銷的意義就在于充分發(fā)揮各種職能,，讓網(wǎng)上經(jīng)營(yíng)的整體效益最大化，因此,，僅僅由于某些方面效果欠佳就否認(rèn)網(wǎng)絡(luò)營(yíng)銷的作用是不合適的,。網(wǎng)絡(luò)營(yíng)銷的職能是通過各種網(wǎng)絡(luò)營(yíng)銷方法來(lái)實(shí)現(xiàn)的，網(wǎng)絡(luò)營(yíng)銷的各個(gè)職能之間并非相互獨(dú)立的,，同一個(gè)職能可能需要多種網(wǎng)絡(luò)營(yíng)銷方法的共同作用,，而同一種網(wǎng)絡(luò)營(yíng)銷方法也可能適用于多個(gè)網(wǎng)絡(luò)營(yíng)銷職能。

網(wǎng)絡(luò)在當(dāng)今社會(huì)的影響力迅速膨脹,，所以互聯(lián)網(wǎng)也就演化為企業(yè)快速成長(zhǎng)的發(fā)動(dòng)機(jī).而不管您從事什么樣的行業(yè),，未來(lái)都離不開互聯(lián)網(wǎng),。已經(jīng)有不少經(jīng)理老板們意識(shí)到上網(wǎng)的重要性了，但他們并不十分清楚該如何上網(wǎng),。上網(wǎng)只是一個(gè)總稱,，對(duì)于企業(yè)，它包含兩個(gè)意思,。第一是擁有屬于自己的網(wǎng)站,，展示企業(yè)文化的窗口。第二就是及時(shí)的將這個(gè)平臺(tái)告訴給別人,。提高企業(yè)的知名和影響力,。形成傳播，互通有無(wú),，達(dá)成共識(shí),。

禹含網(wǎng)絡(luò)策劃工作室跳出傳統(tǒng)的網(wǎng)絡(luò)推廣模式，根據(jù)企業(yè)所在行業(yè)要求,、企業(yè)文化,、產(chǎn)品市場(chǎng)等要點(diǎn)進(jìn)行總結(jié)優(yōu)越性和賣點(diǎn)，之后結(jié)合網(wǎng)民的搜索習(xí)慣和按客戶的興趣,，將這些進(jìn)行結(jié)合后全面策劃推廣企業(yè)站點(diǎn),。從介入市場(chǎng)到分析行情、找出接入點(diǎn),、策劃方案,、人員分配、推廣安排,、針對(duì)發(fā)布,、新聞效益、跟蹤調(diào)查,、更新維護(hù),、反饋效益等等，是一個(gè)緊密聯(lián)系的有機(jī)運(yùn)作整體,，井然有序,，前一步為后一步打下基礎(chǔ)、創(chuàng)造條件,，后一步是在前一步基礎(chǔ)上的發(fā)展與拓展,。步步為營(yíng)，層層推進(jìn),，實(shí)用高效,。在團(tuán)隊(duì)推廣中充分發(fā)揮員工的積極性和創(chuàng)造性，從多角度、多層次分析情景,，展合理化分配,，有效性宣傳。我們工作室分工明確周密細(xì)致并且宣傳手法多樣化,。禹含團(tuán)隊(duì)的每個(gè)成員都會(huì)嚴(yán)格按照我們制定的步驟將企業(yè)的宣傳資料投放發(fā)布到各大網(wǎng)站及針對(duì)性的網(wǎng)站上,；將企業(yè)的產(chǎn)品信息按網(wǎng)民的搜索習(xí)慣和按客戶的興趣供給他們，提前一步展示貴公司產(chǎn)品的優(yōu)越性能和賣點(diǎn),，在網(wǎng)絡(luò)上進(jìn)行一系列的運(yùn)作及對(duì)產(chǎn)品的炒作,，進(jìn)而達(dá)到對(duì)產(chǎn)品宣傳的目的，讓企業(yè)產(chǎn)品信息在最短的時(shí)間內(nèi)遍布互聯(lián)網(wǎng),，走進(jìn)老百姓生活,，達(dá)到廣而告之，家喻戶曉的宣傳目的,。禹含網(wǎng)絡(luò)為企業(yè)贏得良好聲譽(yù),，搶占市場(chǎng)先機(jī)，迅速提高銷量與知名度!

您好,，請(qǐng)問您的論文是本科生的論文嗎,，或者您是什么專業(yè)，如果這是本科生的,，沒有網(wǎng)購(gòu)經(jīng)驗(yàn)或開店經(jīng)驗(yàn),，以及對(duì)網(wǎng)絡(luò)營(yíng)銷知識(shí)學(xué)習(xí)和深度思考，完成這樣的論文,，我想淘寶的內(nèi)部員工也很難完成,。

最大的問題就是太麻煩，主要是賬號(hào)要取得購(gòu)買資格很麻煩,，我一直想在上面買些東西，就是綁銀行賬戶太繁瑣,，一直沒買成