企业网络安全研究与实现

天津电子信息职业技术学院毕业论文题目企业网络安全研究与实现姓名专业班级计算机网络技术S103班指导教师完成时间2013年4月天津电子信息职业技术学院制20134摘要众所周知，作为全球使用范围最大的信息网，INTERNET自身协议的开放性极大地方便了各种计算机连接，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使INTERNET自身安全受到严重威胁，与它有关的安全事故屡有发生。网络安全安全的威胁主要表现在非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。因此本论文为企业构架网络安全体系，主要运用VLAN划分、防火墙技术、VPN、病毒防护等技术，来实现企业的网络安全。关键字网络安全VPN防火墙防病毒目录一、前言1（二）、网络安全的基本要素2（三）、网络安全的重要性3（四）、网络安全脆弱的原因4三、企业网络环境分析6（一）、内部网络环境分析6（二）、外部网络环境分析6（三）、系统漏洞带来的安全隐患7（四）、安全需求分析7四、企业网网络安全总体设计7（一）、安全设计总体考虑8（二）、网络安全设计8（三）、应用系统安全策略13五、企业网络安全技术16（一）、数据加密技术16（二）、防火墙枝术17（三）、认证技术18（四）、杀毒软件技术18（五）、入侵检测技术19（六）、安全扫描技术19（七）、访问控制技术20（八）、虚拟专用网技术21六、企业网络安全管理21（一）、上网终端管理21（二）、WEB访问控制管理21（三）、信息收发控制管理22（四）、互联网活动信息审计管理22（五）、应用权限设置设置23七、企业网络维护24（一）、安装补丁程序24（二）、加强操作系统权限管理和口令管理24（三）、关闭服务器上没有必要的网络服务24（四）、监测系统日志24（五）、定期对服务器文件进行备份与维护25（六）、WEB,EMAIL的安全监测系统25八、总结25九、致谢26十、参考文献26一、前言随着全球信息化的飞速发展,计算机技术也在飞速的发展，以INTERNET为代表的信息网络技术的应用正日益普及，应用领域从传统的小型业务系统，逐渐向大型关键业务系统扩展，信息网络已经深入到国家的政府、军事、文教、金融、商业等诸多领域，可以说网络无处不在，他正在改变我们的工作方式和生活方式。网络的不断发展，通信日益便捷，把我们的生活推向快速化，我们也逐渐适应了快速的通信化生活，由于信息的高速、便捷，人们都在利用高科技技术进行通信，使我们的生活向着高速化发展，人们逐渐放弃了陈旧的通信方式，改用快捷便利的通信方式，使我们的生活逐渐信息化和多样化，把我们的生活装点的更加丰富多彩。网络安全不仅关系到国计民生，还与国家安全息息相关，它涉及到国家政治和军事命脉，影响到国家的安全和主权，一些发达国家都把国家网络安全纳入了国家安全体系。因此，网络安全不仅成为上家关注的焦点，也是技术研究的热门领域，同时也是国家和政府关注的焦点。在信息不断发展的今天，我们不仅要充分的利用网络的有利资源，还应该加强网络安全的防范，加强防火墙技术的发展对网络安全能够得到更好的维护。网络安全化会使我们的生活更加的丰富，使通讯更加安全，让信息快速的发展。二、网络安全概述（一）、网络安全的定义国际标准化组织（ISO）引用ISO74982文献中对安全的定义是这样的安全就是最大程度地减少数据和资源被攻击的可性。从本质上讲，网络安全就是信息的安全，是指网络系统的硬件、软件和系统中的数据受到保护，不受偶然的或者恶意的攻击而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。广义上讲，凡是涉及到网络上信息的保密性、完整性、可用性，可控性和不可否认性的相关技术和理论都是网络安全所要研究的领域。网络安全的具体含义会随着重视“角度”的变化而变化。从社会教育和意识形态的角度来说，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制，数据可以单独保存，也可以分开保存。（二）、网络安全的基本要素网络安全的基本要素，实际上是网络安全的目的，即机密（CONFIDENTIALITY）、完整性（INTEGRITY）、可用性（AVAILABILITY）、可控性（CONTROLLABILITY）与不可否认性（NONREPUDIATION）。1、机密性完整性是指保证信息不能被非授权访问，即非授权用户得到信息也无法知晓信息的内容，因而不能使用。2、完整性完整性是只有得到允许的人才能修改实体或者进程，并且能够判别出实体或者进程是否已被修改。3、可用性可用性事信息资源服务功能和性能饥可靠性的度量，涉及到物理、网络、系统、数据、应户和用户灯多方面的因素，是对信息网络总体可靠性的要求。4、可控性可控性主要指对国家信息的监视设计。5、不可否认性不可否认性是对出现的安全问题提供调查的依据和手段。（三）、网络安全的重要性随着计算机技术的飞速发展，以INTERNET为代表的信息网络技术的应用正日益普及，应用领域从小型的业务系统，逐渐向大型关键业务系统扩展，信息网络已经深入到国家的政府、军事、金融、商业等诸多领域，可以说网络无处不在，它正在改变我们的工作方式和生活方式。网络的普及，安全日益成为影响网络效能的重要问题。据上海艾瑞市场咨询有限公司调查，信息安全成为一个非常严重的社会问题，已经引起了人们的足够重视。而INTERNET所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。据美国联邦调查局的报告，计算机犯罪是商业犯罪中最大的犯罪类型之一，每笔犯罪的平均金额为45万美元，美国每年因为计算机犯罪造成的经济损失高达150亿美元。近年来，国内的计算机犯罪案件有急剧上升，计算机犯罪已经成为普遍的国际性问题。网络安全不仅关系到国计民生，还与国家安全息息相关，它涉及到国家政治和军事命脉，影响到国家的安全和主权。一些发达国家如英国、美国、日本、俄罗斯等都把国家网络安全纳入了国家安全体系。因此，网络安全不仅成为商家关注的焦点，也是技术研究的热门领域，同时也是国家和政府关注的焦点。（四）、网络安全脆弱的原因1、开放性的网络网络环境正如一句非常经典的话“INTERNET的美妙之处在于你和每个人都能互相连接，INTERNET的可怕之处在于每个人都能和你相互连接。”由于网络建立伊始只考虑方便性、开放性，并没有考虑总体安全构想。因此，开放性的网络，导致网络的技术是全开放的，任何一个人、团体都可能接入，因而网络所面临的破坏和攻击可能是多方面的，例如，可能是对物理传输路线的攻击，也可能是对网络通信协议及应用的攻击；可能是对软件的攻击，也可能是对硬件的攻击。INTERNET是跨国界的，这意味着网络的攻击不仅仅来自本地网络的用户，也可以来自INTERNET上的任意一台机器。由于INTERNET是个虚拟的世界。我们不知道和我们相连的另一端是谁。在这个虚拟的世界里，已经超越了国界，某些法律也受到了挑战，因此说，网络安全所面临的是一个国际化的挑战。2、协议本身的挑战网络传输离不开协议，而这些协议也有不同的层次、不同方面的漏洞，如TCP/IP等本身就存在着漏洞。针对TCP/IP协议栈各个层次的攻击有以下几个方面。（1）、网络应用层服务的安全隐患。如攻击者可以利用FTP、LOGIN、FINGER、WHOIS、WWW等服务来获取信息或取得权限。（2）、IP层通信系统的易欺骗性。由于TCP/IP本身的缺陷，IP层数据包是不需要认证的，攻击者可以假冒别的用户进行通信，即IP欺骗。局域网中以太网协议的数据传输机制是广播发送，使得系统和网络具有易被监视性。在网络上，黑客能用嗅探软件听到口令和其他敏感信息。（3）操作系统的漏洞使用网络离不开操作系统，操作系统的安全性对网络安全同样有非常重要的影响，有很多攻击方法都是从寻找操作系统缺陷入手的。操作系统的缺陷有以下几个方面。（1）、系统模型本身的缺陷。这是系统设计初期就存在的，无法通过修改操作系统程序的源代码来弥补。（2）、操作系统的源代码存在BUG。操作系统也是一个计算机程序，任何程序都会有BUG，操作系统也不会例外。例如，冲击波病毒针对的就是WINDOWS操作系统的RPC缓冲区溢出漏洞。而那些公布了源代码的操作系统所受到的威胁更大，黑客会分析其源代码，找到漏洞进行攻击。（3）、操作系统程序的配置不正确。许多操作系统的默认配置的安全性是很差的，而进行安全配置又比较复杂并需要一定得安全知识，许多用户并没有这方面的能力，如果没有正确地配置这些功能，也会造成一些系统的安全缺陷。4、许多公司和用户的网络安全意识薄弱、思想麻痹，这些管理上的人为因素也影响了安全。三、企业网络环境分析（一）、内部网络环境分析企业的局域网按访问区域可以划分为三个主要的区域INTERNET区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网，包括财务子网、领导子网、设计子网、中心服务器子网、办公子网等。（二）、外部网络环境分析随着INTERNET网络的急剧扩大和上网用户的迅速增加，网络安全风险变得更加严重和复杂。原来由单个计算机病毒入侵事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对INTERNET安全政策的认识不足，这些风险正日益严重。针对企业局域网中存在的安全隐患，在进行安全方案设计时，病毒入侵的安全风险我们必须要认真考虑，并且要针对面临的风险，采取相应的安全措施。病毒传播具体有以下几种1、病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；2、病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器；3、病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中。4、如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中。一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。由以上病毒在网络上的传播方式可见，在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点。（1）、感染速度快（2）、扩散面广（3）、传播的形式复杂多样（4）、难于彻底清除（5）、破坏性大（6）、可激发性（7）潜在性（三）、系统漏洞带来的安全隐患系统漏洞并不是病毒，但是它往往为病毒所利用，成为入侵系统影响安全的“快速路”。（四）、安全需求分析通过前面我们对这个企业内外部网络环境分析，可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒以及系统漏洞的维护上。因此，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到防止黑客从外部攻击，入侵检测与监控，病毒防护，数据安全保护，数据备份与恢复，修补系统漏洞。针对这个企业局域网络系统的实际情况，在系统考虑如何解决上述安全问题的设计时应满足如下要求（1）大幅度地提高系统的安全性（重点是可用性和可控性）。（2）保持网络原有的能特点，即对网络的协议和传输具有很好的透明性，能透明接入，无需更改网络设置。（3）易于操作、维护，并便于自动化管理，而不增加或少增加附加操作。（4）尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展。四、企业网网络安全总体设计根据企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点，本方案主要从以下几个方面进行安全设计网络系统安全；应用系统安全；物理安全；安全管理。（一）、安全设计总体考虑根据企业网络现状及发展趋势，主要安全措施从以下几个方面进行考虑1、网络传输保护主要是数据加密保护。2、主要网络安全隔离，通用措施是采用防火墙。3、网络病毒防护，采用网络防病毒系统。4、广域网接入部分的入侵检测，采用入侵检测系统。5、系统漏洞分析，采用漏洞分析设备。6、定期安全审计，主要包括两部分内容审计和网络通信审计。7、重要数据的备份，重要信息点的防电磁泄露。8、网络安全结构的可伸缩性包括安全设备的可伸缩性，即能根据用户的需要随时进行规模、功能扩展网络防雷。（二）、网络安全设计作为企业应用业务系统的承载平台，由于许多重要的信息都通过网络进行交换，网络系统的安全显得尤为重要。1、网络传输由于企业中心内部网络存在两套网络系统，其中一套为企业内部网络，主要运行的是内部办公、业务系统等；另一套是与INTERNET相连，通过ADSL接入，并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网，并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护，如果不采取相应的安全措施，易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改，产生严重的后果。由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统，因此解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备，由VPN设备实现网络传输的加密保护。根据企业三级网络结构，VPN设置如下图所示图1每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器（VPNCA），在所属的直属单位的网络接入处安装一台VPN设备，由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的（1）、网络传输数据保护；由安装在网络上的VPN设备实现各内部网络之间数据传输加密保护，并可同时采取加密或隧道的方式进行传输。（2）、网络隔离保护；与INTERNET进行隔离，控制内网与INTERNET的相互访问集中统一管理，提高网络安全性。（3）、降低成本（设备成本和维护成本）；其中，在各级中心网络的VPN设备设置如下图图2由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离，禁止外网直接访问内网，控制内网的对外访问、记录日志。这样即使服务器被攻破，内部网络仍然安全。下级单位的VPN设备放置如下图所示图3从图3可知，下属机构的VPN设备放置于内部网络与路由器之间，其配置、管理由上级机构通过网络实现，下属机构不需要做任何的管理，仅需要检查是否通电即可。由于安全设备属于特殊的网络设备，其维护、管理需要相应的专业人员，而采取这种管理方式以后，就可以降低下属机构的维护成本和对专业技术人员的要求，这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。由于网络安全的是一个综合的系统工程，是由许多因素决定的，而不是仅仅采用高档的安全产品就能解决，因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理，因而很容易因为某个设备的设置不当，而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的，因此，容易出现上述现象；同时，每个维护人员的水平也有差异，容易出现相互配置上的错误使网络中断。所以，在安全设备的选择上应当选择可以进行网络化集中管理的设备，这样，由少量的专业人员对主要安全设备进行管理、配置，提高整体网络的安全性和稳定性。2、访问控制企业广域网网络部分通过公共网络建立，其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等，因此，采取相应的安全措施是必不可少的。通常，对网络的访问控制最成熟的是采用防火墙技术来实现的，选择带防火墙功能的VPN设备来实现网络安全隔离，可满足以下几个方面的要求（1）、控制外部合法用户对内部网络的网络访问。（2）、控制外部合法用户对服务器的访问。（3）、禁止外部非法用户对内部网络的访问。（4）、控制内部用户对外部网络的网络。（5）、阻止外部用户对内部的网络攻击。（6）、防止内部主机的IP欺骗。（7）、对外隐藏内部IP地址和网络拓扑结构。（8）、网络监控。（9）、网络日志审计。3、入侵检测网络安全不可能完全依靠单一产品来实现，网络安全是个整体的，必须配相应的安全产品。作为必要的补充，入侵检测系统（IDS）可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送EMAIL）。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器（网络引擎）。控制台用作制定及管理所有探测器（网络引擎）。探测器（网络引擎）用作监听进出网络的访问行为，根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。入侵检测系统的设置如下图图4从上图可知，入侵检测仪在网络接如上与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的，网络数据全部通过VPN设备，而入侵检测设备在网络上进行疹听，监控网络状况，一旦发现攻击行为将通过报警、通知VPN设备中断网络（即IDS与VPN联动功能）等方式进行控制（即安全设备自适应机制），最后将攻击行为进行日志记录以供以后审查。4、漏洞扫描为一个完善的通用安全系统，应当包含完善的安全措施，定期的安全评估及安全分析同样相当重要。由于网络安全系统在建立后并不是长期保持很高的安全性，而是随着时间的推移和技术的发展而不断下降的，同时，在使用过程中会出现新的安全问题，因此，作为安全系统建设的补充，采取相应的措施也是必然。采用漏洞扫描设备对网络系统进行定期扫描，对存在的系统漏洞、网络漏洞、应用程序漏洞、操作系统漏洞等进行探测、扫描，发现相应的漏洞并告警，自动提出解决措施，或参考意见，提醒网络安全管理员作好相应调整。（三）、应用系统安全策略1、系统平台安全企业各级网络系统平台安全主要是指操作系统的安全。由于目前主要的操作系统平台是建立在国外产品的基础上，因而存在很大的安全隐患。企业网络系统在主要的应用服务平台中采用国内自主开发的安全操作系统，针对通用OS的安全问题，对操作系统平台的登录方式、文件系统、网络传输、安全日志审计、加密算法及算法替换的支持和完整性保护等方面进行安全改造和性能增强。一般用户运行在PC机上的NT平台，在选择性地用好NT安全机制的同时，应加强监控管理。2、应用平台安全企业网络系统的应用平台安全，一方面涉及用户进入系统的身份鉴别与控制，以及使用网络资源的权限管理和访问控制，对安全相关操作进行的审计等。其中的用户应同时包括各级管理员用户和各类业务用户。另一方面涉及各种数据库系统、WWW服务、EMAIL服务、FTP和TELNET应用中服务器系统自身的安全以及提供服务的安全。在选择这些应用系统时，应当尽量选择国内软件开发商进行开发，系统类型也应当尽量采用国内自主开发的应用系统。3、病毒防护因为病毒在网络中存储、传播、感染的方式各异且途径多种多样，相应地企业在构建网络防病毒系统时，应利用全方位的企业防毒产品，实施“层层设防、集中控制、以防为主、防杀结合”的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。本方案中在选择杀毒软件时应当注意几个方面的要求具有卓越的病毒防治技术、程序内核安全可靠、对付国产和国外病毒能力超群、全中文产品，系统资源占用低，性能优越、可管理性高，易于使用、产品集成度高、高可靠性、可调配系统资源占用率、便捷的网络化自动升级等优点。4、系统设计原则为了更好的解决病毒的防范，一般要求病毒防范系统满足如下要求（1）、采用世界最先进的防毒产品与网络网络系统的实际需要相结合，确保网络系统具有最佳的病毒防护能力的情况下综合成本最少。（2）、贯彻“层层设防，集中控管，以防为主、防治结合”的企业防毒策略。在网络中所有可能的病毒攻击点或通道中设置对应的防病毒软件，通过这种全方位的、多层次的防毒系统配置，使企业网络免遭所有病毒的入侵和危害。（3）、充分考虑网络的系统数据、文件的安全可靠性，所选产品与现系统具有良好的一致性和兼容性，以及最低的系统资源占用，保证不对现有系统运行产生不良影响。（4）、应用全球最为先进的“实时监控”技术，充分体现趋势科技“以防为主”的反病毒思想。5、数据备份作为国家机关，企业内部存在大量的数据，而这里面又有许多重要的、机密的信息。而整个数据的安全保护就显得特别重要，对数据进行定期备份是必不可少的安全措施。在采取数据备份时应该注意以下几点（1）、存储介质安全在选择存储介质上应选择保存时间长，对环境要求低的存储产品，并采取多种存储介质备份。如同时采用硬盘、光盘备份的方式。（2）、数据安全即数据在备份前是真实数据，没有经过篡改或含有病毒。（3）、备份过程安全，确保数据在备份时是没有受到外界任何干扰，包括因异常断电而使数据备份中断的或其它情况。（4）、备份数据的保管，对存有备份数据的存储介质，应保存在安全的地方，防火、防盗及各种灾害，并注意保存环境（温度、湿度等）的正常。同时对特别重要的备份数据，还应当采取异地备份保管的方式，来确保数据安全。对重要备份数据的异地、多处备份。6、安全审计作为一个良好的安全系统，安全审计必不可少。由于企业网是一个非常庞大的网络系统，因而对整个网络（或重要网络部分）运行进行记录、分析是非常重要的，它可以让用户通过对记录的日志数据进行分析、比较，找出发生的网络安全问题的原因，并可作为以后的法律证据或者为以后的网络安全调整提供依据。7、认证、鉴别、数字签名、抗抵赖由于企业网络系统庞大，上面存在很多分级的重要信息；同时，由于现在国家正在大力推进电子政务的发展，网上办公已经越来越多的被应用到各级政府部门当中，因此，需要对网上用户的身份、操作权限等进行控制和授权。对不同等级、类型的信息只允许相应级别的人进行审阅；对网上公文的处理采取数字签名、抗抵赖等相应的安全措施。五、企业网络安全技术（一）、数据加密技术密码技术是保障网络安全的最基本、最核心的技术措施。加密技术是将资料加密，以防止信息泄露的技术。加密就是通过一种方式使信息变得混乱，从而使未被授权的人看不懂它。信息在网络传输时被窃取，是个人和公司面临的最大安全风险。为防止信息被窃取，必须对所有传输的信息进行加密。现在有几种类型的加密技术，包括硬件的和软件的。就体制而言，目前的加密体制可分为单密钥加密体制和公用密钥体制。1、单密钥机密体制单密钥体制是指在加密和解密过程中都必须用到同一个密钥的加密体制，此加密体制的局限性在于在发送和接受方传输数据时必须先通过安全渠道交流密钥，保证在他们发送或接收机密信息之前有可供使用的密钥。这种加密方法的优点是速度很快，很容易在硬件和软件中实现。2、公用密钥加密体制公用密钥需要两个相关密码，一个密码作为公钥，另一个密码作为私钥。在公用密钥体制中，信息接受者可以把他的放到INTERNET的任意地方，或者用非密钥的邮件发给信息的发送者，信息的发送者用他的公钥加密信息后发给信息接收者，信息接收者则用他自己的私钥解密信息。在所有公钥机密算法中，最典型的代表是1978年由RRIVEST、ASHAMIR和LADLMAN三人发明的RSA，现在已经有许多应用RSA算法实现的数字签名系统了。（二）、防火墙枝术防火墙是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据，它不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用多种功能相结合的形式来保护自己的网络不受恶意传输的攻击，其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和代理服务器技术，它们的安全级别依次升高，但具体实践中既要考虑体系的性价比，又要考虑安全兼顾网络连接能力。此外，现今良好的防火墙还采用了VPN、监视和入侵检测技术。（三）、认证技术认证技术就是验证一个用户、系统或系统进程的身份，当这种验证发生时，依据系统管理员制定的参数而使真正的用户或系统能够获得相应的权限。常用的认证技术如下1、身份认证，当系统的用户要访问系统资源时要求确认是否是合法的用户，这就是身份认证。常采用用户名和口令等最简单方法进行用户身份的认证识别。2、报文认证报文认证主要是通信双方对通信的内容进行验证，以保证报文在传送中没被修改过。3、访问授权访问授权主要是确认用户对某资源的访问权限。4、数字签名数字签名是一种使用加密认证电子信息的方法，是以电子形式存储的一种消息，可以在通信网络中传输。由于数字签名是利用密码技术进行的，所以其安全性取决于所采用的密码体制的安全制度。（四）、杀毒软件技术杀毒软件肯定是最常见的，也是用得最普遍的安全技术方案，因为这种技术实现起来最简单。但大家都知道杀毒软件的主要功能就是杀毒，功能十分有限，不能完全满足安全的需要。这种方式对于个人用户或小企业或许还能满足需要，但如果个人或企业有电子商务方面的需求，就不能完全满足了。可喜的是，随着杀毒软件技术的不断发展，现在的主流杀毒软件同时也能预防木马及其他一些黑客程序的入侵。还有的杀毒软件开发商同时提供了软件防火墙，具有了一定防火墙的功能，在一定程度上能起到硬件防火墙的功效，如卡巴斯基、金山防火墙、NORTON防火墙，360防火墙等。（五）、入侵检测技术入侵检测技术是网络安全研究的一个热点，入侵检测是对对防火墙技术的一种逻辑补偿技术，是一种积极主动的安全防护技术，提供了对内部入侵、外部入侵和误操作的实时保护，在网络系统受到危害之前拦截相应入侵。随着时代的发展，入侵检测技术将朝着三个方向发展分布式入侵检测。智能化入侵检测和全面的安全防御方案。入侵检测系统（IDSINSTUSIONDETECTIONSYSTEM）是进行入侵检测的软件与硬件的组合，其主要功能是检测，除此之外还有检测部分阻止不了的入侵；检测入侵的前兆，从而加以处理，如阻止，封闭等；入侵事件的归档，从而提供法律依据；网络遭受威胁程度的评估和入侵事件的恢复等功能。（六）、安全扫描技术网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。安全扫描工具源于HACKER在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。基于服务器的扫描器主要扫描服务器相关的安全漏洞，如PASSWORD文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围IP地址或路由器跳数。网络安全扫描的主要性能应该考虑以下方面1、速度。在网络内进行安全扫描非常耗时。2、网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。3、能够发现的漏洞数量。4、是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。5、报告，扫描器应该能够给出清楚的安全漏洞报告。6、更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。（七）、访问控制技术每个系统都要确保访问用户是有访问权限的，这样才允许他们访问，这种机制叫做访问控制。访问控制是通过一个参考监视器，在每一次用户对系统目标进行访问时，都由它来进行调节，包括限制合法用户的行为。每当用户对系统进行访问时，参考监视器就会查看授权数据库，以确定准备进行操作的用户是否确实得到了可进行此项操作的许可。所有操作系统都支持访问控制。访问控制是保护服务器的基本机制，必须在服务器上限制哪些用户可以访问服务或守护进程。（八）、虚拟专用网技术VPN是目前解决信息安全问题的一个最新、最成功的技术之一。所谓虚拟专用网（VPN）技术就是在公共网络上建立专用网络，使数据通过安全的“加密管道“在公共网络中传播。在公共通信网络上构建VPN有两种主流的机制路由过滤技术和隧道技术。目前，VPN主要采用了如下四项技术来保障安全隧道技术（TUNNELING）、加/解密技