计算机网络信息安全及防护策略的研究.doc

论文题目：计算机网络信息安全及防护策略的研究摘要随着网络的飞速发展，网络信息安全也越来越受到人们的重视。通过对威胁网络信息安全因素的分析，进而提出了五种常用计算机网络信息安全防护策略，并对网络信息安全发展进行了展望形成网络信息安全防护体系。关键词：计算机网络、网络信息安全、安全威胁、防范措施、安全防护体系AbstractAlong with the rapid development of network，the network information safety is becoming more and more attentionBased on the analysis of network inform ation safety factors，and then put forward five kinds of common computer network inform ation safety protection strategy，and the development of the network information safety was prospected and forrned the network information safety protection systemKeywords: computer network; network information security; security threats; preventive measures;safely protection system目 录引言2第一章信息安全的现状及发展趋势11.1 计算机网络安全的基本概念11.2 计算机网络安全的基本组成11.3 计算机网络安全现状1第二章 计算机网络信息面临的安全威胁12.1 自然灾害12.2 网络系统本身的脆弱性12.3 用户操作失误12.4 人为的恶意攻击12.5 计算机病毒12.6 垃圾邮件和间谍软件22.7 计算机犯罪的定义与特征22.8 计算机本身存在的安全问题22.9 软件工具的非法使用32.10 系统维护不科学3第三章 常用的计算机网络信息安全防护策略13.1 加强用户账号的安全13.2 杜绝Guest帐户的入侵13.3封死黑客的“后门”13.4 做好IE的安全设置23.5 防范木马程序23.6 不要回陌生人的邮件23.7 防范间谍软件23.8 关闭一些不常用的服务和端口33.9 正确的隐藏电脑的IP地址33.10 身份认证技术33.11 安装防火墙和杀毒软件33.12 及时安装漏洞补丁程序43.13 入侵检测和网络监控技术53.14 文件加密和数字签名技术5第四章 网络信息安全防护体系8第五章 结论9参考文献10引言随着信息技术的发展和Internet技术的广泛应用，如今的网络已经成为人们生活中不可缺少的一部分，人们对信息网络系统的需求和依赖程度正在日益增加。与此同时，对网络安全的威胁也变得越来越严重。因此，分析影响网络安全的原因，提出保障网络安全的相关对策变得十分重要。Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全隐患。为了解决这些安全问题，各种各样的安全机制、安全策略和网络安全工具被人们开发和应用。网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要指保护网络系统的硬件、软件及其系统中的数据，不受偶然的或者恶意的原因破坏、更改和泄露，保证系统连续可靠正常地运行，网络服务不中断。第一章 信息安全的现状及发展趋势1.1 计算机网络安全的基本概念计算机网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行。网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说。凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。1.2 计算机网络安全的基本组成1.2.1 网络实体安全：如计算机的物理条件、物理环境及设施的安全标准，计算机硬件、附属设备及网络传输线路的安装及配置等。1.2.2 软件安全：如保护网络系统不被非法侵入，系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等。1.2.3 数据安全：如保护网络信息的数据安全，不被非法存取，保护其完整、一致等。1.2.4 网络安全管理：如运行时突发事件的安全处理等，包括采取计算机安全技术，建立安全管理制度。开展安全审计，进行风险分析等内容。1.3 计算机网络安全现状随着计算机和通信技术的发展。网络信息的安全和保密已成为一个至关重要且急需解决的问题。计算机网络所具有的开放性、互连性和共享性等特征使网上信息安全存在着先天不足。再加上系统软件中的安全漏洞以及所欠缺的严格管理致使网络易受黑客、恶意软件的攻击。因此针对网络的安全所采取的措施应能全方位地针对各种不同的威胁。保障网络信息的保密性、完整性和可用性。现有网络系统和协议还是不健全、不完善、不安全的：有的思想麻痹。没有清醒的意识到黑客入侵会导致严重的后果：有的没投入必要的人力、财力和物力来加强网络的安全性；没有采用正确的安全策略和安全机制：缺乏先进的网络安全技术、工具、手段和产品；有的尚缺乏先进的灾难恢复措施和悲愤意识等。网络安全是研究与计算机科学相关的安全问题具体地说。网络安全研究了安全的存储、处理或传输信息资源的技术、体制和服务的发展、实现和应用。每部计算机离不开人。网络安全不仅依赖于技术上的措施，也离不开组织和法律上的措施。客户，服务器计算模式下的网络安全研究领域。一是OSI安全结构定义的安全服务：鉴别服务、数据机密性服务、数据完整性服务、访问控制服务、不可抵赖服务；二是OSI安全结构定义的安全机制：加密、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信填充机制、路由控制机制、公证机制、可信功能、安全标签、事件检测、安全审查跟踪、安全恢复；三是访问控制服务：从逻辑上划分网络。并实际控制对这些网络的访问。访问控制服务中的关键安全技术有静态分组过滤、动态分组过滤、链路层网关、应用层网关；四是通信安全服务：用于保护这些网络间的通信。OSI结构通信安全服务包括鉴别、数据机密性和完整性，以及不可抵赖服务；五是网络存活性：目前对Intemet存活性的研究目的是开发一种能保护网络和分布式系统免遭拒绝服务攻击的技术和机制。第二章 计算机网络信息面临的安全威胁网络存在着各式各样的安全威胁，常见的有自然灾害、网络系统本身的脆弱性、用户操作失误、人为的恶意攻击、计算机病毒、垃圾邮件和间谍软件、计算机犯罪、计算机本身存在问题等。2.1 自然灾害我们所说的计算机信息系统，是一个相对比较智能的软件，其容易受到来自于外界的自然灾害等环境因素影响，如环境的温度、湿度、强烈的振动和冲击等。当前我们使用的计算机及网络系统设施很少设置防震、防水、防火、防雷及防电磁干扰等措施，对于当前应用比较广泛的接地系统也可以说是欠考虑，它对抵御像自然灾害、意外事故等的能力是比较差的。2.2 网络系统本身的脆弱性nternet技术的最显著优点是开放性。然而，这种广泛的开放性，从安全性上看，反而成了易受攻击的弱点。加上Internet所依赖的TCPIP协议本身安全性就不高2，运行该协议的网络系统就存在欺骗攻击、拒绝服务、数据截取和数据篡改等威胁和攻击。2.3 用户操作失误用户安全意识不强，用户口令设置简单，用户将自己的账号随意泄露等，都会对网络安全带来威胁。2.4 人为的恶意攻击这种攻击是计算机网络面临的最大威胁。恶意攻击又可以分为主动攻击和被动攻击两种。主动攻击是以各种方式有选择地破坏信息的有效性和完整性；被动攻击是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致重要数据的泄漏。现在使用的网络软件或多或少存在一定的缺陷和漏洞，网络黑客们通常采用非法侵入重要信息系统的手段，窃听、获取、攻击侵入有关敏感性的重要信息，修改和破坏信息网络的正常使用状态，造成数据丢失或系统瘫痪，给国家造成重大政治影响和经济损失。2.5 计算机病毒计算机病毒是可存储、可执行、可隐藏在可执行程序和数据文件中而不被人发现，触发后可获取系统控制的一段可执行程序，它具有传染性、潜伏性、可触发性和破坏性等特点。计算机病毒主要是通过复制文件、传送文件、运行程序等操作传播。在日常的使用中，软盘、硬盘、光盘和网络是传播病毒的主要途径。计算机病毒运行后轻则可能降低系统工作效率，重则可能损坏文件，甚至删除文件，使数据丢失，破坏系统硬件，造成各种难以预料的后果。近年来出现的多种恶性病毒都是基于网络进行传播的，这些计算机网络病毒破坏性很大，如“CIH病毒”、“熊猫烧香病毒”可谓是人人谈之而色变，它给网络带来了很严重的损失。2.6 垃圾邮件和间谍软件一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动，把自己的电子邮件强行“推人”别人的电子邮箱，强迫他人接受垃圾邮件。与计算机病毒不同，间谍软件的主要目的不在于对系统造成破坏，而是窃取系统或是用户信息，威胁用户隐私和计算机安全，并可能小范围的影响系统性能。2.7 计算机犯罪的定义与特征计算机犯罪的定义：所谓计算机犯罪，就是以计算机为犯罪工具或以计算机为犯罪对象的犯罪行为。造成计算机犯罪和犯罪率上升的原因有很多，但可归结为以下3点：软件结构不完善，重应用，轻安全，即计算机的安全意识淡薄；对网络管理不重视，规章制度不健全，缺乏必要的安全监察环节；立法不完善，缺少惩治计算机犯罪的法律依据。计算机犯罪的特征：作为一种新型犯罪，计算机犯罪与传统的犯罪相比，具有以下的显着特征:犯罪主体的智能性。犯罪分子一般具有较高的文化程度，受过某种专业技能训练，具有足够的专业知识和智能。因此，具有明显的智能性。犯罪手段的隐蔽性。计算机犯罪分子作案的直接对象是计算机系统中无形的数据和信息。因此，犯罪行为难以被发现、识别和侦破，犯罪成功率极高。犯罪目标的集中性。计算机犯罪作案人主要是为了非法占有财富和蓄意报复，因而目标主要集中在金融、证券、电信、大型公司等重要经济部门和单位。这些部门和单位业务的开展大都建立在计算机网络上，实行电脑记帐处理业务,实现了财富数字化、金融电子化。犯罪后果的危害性。由于计算机应用的普遍性和计算机所处理的信息的重要性，使计算机犯罪具有危害严重性等特点。2.8 计算机本身存在的安全问题缓冲区溢出:缓冲区溢出计算机系统当中最常见的系统漏洞也是黑客使用最频繁的漏洞，这是因为很多软件系统在设计的时候，设计人员为了追求设计的速度没有设计检查程序与缓冲区间的功能，由于没有考虑到这一点。使用这种软件的时候计算机如果接收到长度的数据时。会自动将溢出部分放在堆栈内，此时系统会自动判定正常运行，堆栈容量是有限的，数据堆放过多的话势必会影响系统的正常运行。这样也就给了黑客可以充分利用的漏洞，向计算机发出大量的长度数据，当堆栈内的数据量超出了缓冲区的存储能力以后。计算机的系统就会运行缓慢，严重的计算机系统就不能再运行。拒绝服务漏洞问题:拒绝服务主要是指分布式拒绝服务，这也是黑客常用的系统漏洞。通过扰乱软件系统当中的TCPIP连接次序来破坏系统的运行，这种攻击是持续性的，一直会持续到系统不能正常运行位置。其中最具代表性的就是Synnood攻击，这种攻击时依靠发送大量的合法请求连接，阻塞系统通信与数据传输通道，减缓系统运行速度直到系统不能正常运行。分布式拒绝服务DDoS是在Doss基础上发展而来的它的破坏性比一般的Dos要严重的多。2.9 软件工具的非法使用为了最大程度地方便用户，很多公司在其软件系统产品上都会配置用于改进系统管理和服务质量的完备的工具软件，这些软件对于用户来说是使用和维护系统不可缺少的。但是在黑客手里则成为攻击网络安全的重要工具。实际上黑客能够轻易的使用软件商提供的软件工具收集各种非法信息，一次作为进行攻击和破坏的基本依据。比如说在最常用的系统工具Packetsnifer，这种工具主要用在监控和分发网包上，采用此种攻击方法的情况下，黑客一般采取的是信息爆炸的攻击方法，也就是将大量的信息瞬间是放在系统工具Packetsniffer，在短时间之内造成系统的瘫痪。2.10 系统维护不科学在计算机系统使用过程中，使用者需要对系统进行定期的维护，清除系统运行时产生的垃圾，提高系统运行速度额，而如果系统的维护措施也会给计算机信息与网络安全留下很多安全隐患。一般情况下，采用打补丁程序的方法，能够暂时解决系统当中存在的漏洞。但是随着使用的深入还会出现新的漏洞，虽然经过系统维护和软件升级，能够有效的维护系统的安全但是大模式路由器、防火墙的过滤规则却没有改变，这不是单纯依靠软件升级与补丁能够解决的。第三章 常用的计算机网络信息安全防护策略尽管计算机网络信息安全受到威胁，但是采取适当的防护措施就能有效地保护网络信息的安全。常用的计算机网络信息安全防护策略有：3.1 加强用户账号的安全用户账号的涉及面很广，包括系统登录账号和电子邮件账号、网上银行账号等应用账号，而获取合法的账号和密码是黑客攻击网络系统最常用的方法。首先是对系统登录账号设置复杂的密码；其次是尽量不要设置相同或者相似的账号，尽量采用数字与字母、特殊符号的组合的方式设置账号和密码，并且要尽量设置长密码并定期更换。3.2 杜绝Guest帐户的入侵 Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门！禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个复杂的密码，然后再详细设置Guest帐户对物理路径的访问权限。 3.3封死黑客的“后门” 俗话说“无风不起浪”，既然黑客能进入，那我们的系统一定存在为他们打开的"后门"，我们只要将此堵死，让黑客无处下手，岂不美哉！ (1) 删掉不必要的协议对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NetBIOS是很多安全缺陷的源泉，对于不需要提供文件和打印共享的主机，可以将绑定在TCP/IP协议的NetBIOS给关闭，避免针对NetBIOS的攻击。 (2) 关闭“文件和打印共享”文件和打印共享应该是一个非常有用的功能，但在我们不需要它的时候，它也是引发黑客入侵的安全漏洞。所以在没有必要"文件和打印共享"的情况下，我们可以将其关闭。即便确实需要共享，也应该为共享资源设置访问密码。 (3) 禁止建立空连接在默认的情况下，任何用户都可以通过空连接连上服务器，枚举帐号并猜测密码。因此我们必须禁止建立空连接。(4) 关闭不必要的服务 服务开得多可以给管理带来方便，但也会给黑客留下可乘之机，因此对于一些确实用不到的服务，最好关掉。比如在不需要远程管理计算机时，我都会将有关远程网络登录的服务关掉。去掉不必要的服务停止之后，不仅能保证系统的安全，同时还可以提高系统运行速度。3.4 做好IE的安全设置ActiveX控件和Java Applets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择，具体设置步骤是：“工具”“Internet选项”“安全”“自定义级别”。另外，在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。3.5 防范木马程序木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：(1)在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。 (2)在“开始”“程序”“启动”或“开始”“程序”“Startup”选项里看是否有不明的运行项目，如果有，删除即可。(3)将注册表里KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”为前缀的可疑程序全部删除即可。3.6 不要回陌生人的邮件有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不上当。3.7 防范间谍软件如果想彻底把Spyware拒之门外，请按照这几个步骤来做：(1)断开网络连接并备份注册表和重要用户数据；(2)下载反间谍工具；(3)扫描并清除；(4)安装防火墙；(5)安装反病毒软件。3.8 关闭一些不常用的服务和端口从计算机安全防护理论来讲，计算机系统当中端口越多系统也就越不安全。用以在使用计算机的过程中尤其是安装操作系统的时候，在不注意的情况会安装一些不必须要的服务功能和端口，这这不仅会占用一定的系统资料，也会降低计算机系统的安全性。因此用户在使用计算机的过程中可以关闭Telnet等一些不经常使用的服务功能，和一些用不到的TCP端口。此外。为了了解端口的使用情况用户可以安装端口监视程序通过检查可以确定那些端口是不常用的。此外一旦有病毒侵入计算机系统，监视程序能够自动报警，一些还能自动关闭端口功能，有效的防止黑客人侵。3.9 正确的隐藏电脑的IP地址IP地址是黑客和病毒攻击必须具备的一个条件，也就是说对信息和网络的攻击必须有真实的IP地址才能进行，黑客获得用户IP地址方式主要是利用网络探测技术查看主机信息，传统的一些黑客和病毒DoS攻击、Floop溢出攻击等都必须以获取 地址作为前提条件的。因此，用户在使用计算机系统的时候应该隐藏自己的IP地址，使用代理服务器是最常见的隐藏IP地址的方法，这样黑客只能侦测到代理服务器的IP地址，而无法获得用户真实的IP地址，无法找到真实的IP地址也就无法进行攻击，有效的维护计算机信息与网络的安全。3.10 身份认证技术身份认证(Authentication)是系统核查用户身份证明的过程，其实质是查明用户是否具有它所请求资源的存储使用权。身份识别(Identification)是指用户向系统出示自己的身份证明的过程。这两项工作通常被称为身份认证。身份认证至少应包括验证协议和授权协议。网络中的各种应用和计算机系统都需要通过身份认证来确认合法性，然后确定它的个人数据和特定权限。对于身份认证系统来说，合法用户的身份是否易于被别人冒充是它最重要的技术指标。用户身份被冒充不仅可能损害用户自身的利益，也可能损害其他用户的利益或整个系统。因此，身份认证是授权控制的基础。只有有效的身份认证，才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。3.11 安装防火墙和杀毒软件网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以确定网络之间的通信是否被允许，并监视网络运行状态。根据防火墙所采用的技术不同，可将它分为：包过滤型、地址转换型、代理型和监测型。包过滤型防火墙采用网络中的分包传输技术，通过读取数据包中的地址信息判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。地址转换型防火墙将内侧IP地址转换成临时的、外部的、注册的IP地址。内部网络访问因特网时，对外隐藏了真实的IP地址。外部网络通过网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。代理型防火墙也称为代理服务器，位于客户端与服务器之间，完全阻挡了二者问的数据交流。当客户端需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据请求向服务器索取数据，然后再传输给客户端。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到内部网络系统。监测型防火墙是新一代防火墙产品，所采用技术已经超越了最初的防火墙的定义。此类型防火墙能够对各层的数据进行主动的、实时的监测，通过分析这些数据。能够有效地判断出各层中的非法侵入。同时，监测型防火墙一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。个人计算机使用的防火墙主要是软件防火墙，通常和杀毒软件配套安装。杀毒软件是我们使用的最多的安全技术，这种技术主要针对病毒，可以查杀病毒，且现在的主流杀毒软件还可以防御木马及其他的一些黑客程序的入侵。但要注意，杀毒软件必须及时升级，升级到最新的版本，才能有效地防毒。3.12 及时安装漏洞补丁程序漏洞是可以在攻击过程中利用的弱点，可以是软件、硬件、程序缺点、功能设计或者配置不当等。美国威斯康星大学的Miller给出一份有关现今流行的操作系统和应用程序的研究报告，指出软件中不可能没有漏洞和缺陷。如今越来越多的病毒和黑客利用软件漏洞攻击网络用户，比如有名的攻击波病毒就是利用微软的RPC漏洞进行传播，震荡波病毒就是利用Windows的LSASS中存在的一个缓冲区溢出漏洞进行攻击。当我们的系统程序中有漏洞时，就会造成极大的安全隐患。为了纠正这些漏洞，软件厂商发布补丁程序。我们应及时安装漏洞补丁程序，有效解决漏洞程序所带来的安全问题。扫描漏洞可以使用专门的漏洞扫描器，比如COPS、tripwire、tiger等软件，也可使用360安全卫士、瑞星卡卡等防护软件扫描并下载漏洞补丁。3.13 入侵检测和网络监控技术入侵检测是近年来发展起来的一种防范技术，综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法，其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。根据采用的分析技术可以分为签名分析法和统计分析法。签名分析法：用来监测对系统的已知弱点进行攻击的行为。人们从攻击模式中归纳出它的签名，编写到Ds系统的代码里，签名分析实际上是一种模板匹配操作。统计分析法：以统计学为理论基础，以系统正常使用情况下观察到的动作模式为依据来辨别某个动作是否偏离了正常轨道。3.14 文件加密和数字签名技术文件加密与数字签名技术是为提高信息系统及数据的安全保密性，防止秘密数据被外部窃取、侦听或破坏所采用的主要技术之一。根据作用不同，文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别三种。数据传输加密技术主要用来对传输中的数据流加密，通常有线路加密和端对端加密两种。前者侧重在路线上而不考虑信源与信宿，是对保密信息通过的各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者通过专用的加密软件，采用某种加密技术对所发送文件进行加密，把明文加密成密文，当这些信息到达目的地时，由收件人运用相应的密钥进行解密，使密文恢复成为可读数据明文。数据存储加密技术的目的是防止在存储环节上的数据失密，可分为密文存储和存取控制两种。前者一般是通过加密法转换、附加密码、加密模块等方式对本地存储的文件进行加密和数字签名。后者则是对用户资格、权限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。数据完整性鉴别技术主要是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证，达到保密的要求，一般包括口令、密钥、身份、数据等项的鉴别，系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。数字签名是解决网络通信中特有安全问题的一种有效方法，它能够实现电子文档的辨认和验证，在保证数据的完整性、私有性、不可抵赖性方面有着极其重要的作用。数字签名的算法有很多，其中应用最广泛的是：Hash签名、DSS签名和RSA签名。数字签名的实现一般有以下几种形式：(1)一般数字签名。发送方A要给接收方B发送消息M，先使用单向散列函数形成信息摘要MD，再进行签名。这样能确认信息的来源和保证信息的完整性，其工作流程如图3-1所示。发送方明文消息解密签名恢复MD散列函数运算发送方私钥加密比较MD=MD形成明文摘要MD因特网图3-1 一般数字签名流程（2）用非对称加密算法和单向散列函数进行数字签名。此方法使用两个密钥(公开密钥和私有密钥)分别对数据进行加密和解密。如果用公开密钥对数据进行加密，只有用对应的私有密钥才能进行解密；如果用私有密钥对数据进行加密，则只有用对应的公开密钥才能解密。这种方法使任何拥有发送方公开密钥的人都可以验证数字签名的正确性。由于发送方私有密钥的保密性，使得接收方既可以根据验证结果来拒收该报文，也能使其无法伪造报文签名及对报文进行修改(流程见图3-2所示)。 明文M发送C=C2+C3散列函数运算数字签名得C1对称加密得C2非对称加密得C3因特网接收C=C2+C3比较MD=MD非对称解密得K对称解密得M+C1运算M得MD非对称解密得MD确认、处理(a)发送方(b)接收方图3-2 带加密的数字签名（3）用对称加密算法进行数字签名。此方法所用的加密密钥和解密密钥通常是相同的，即使不同也可以很容易地由其中的任意一个推导出另一个。在此算法中，加、解密双方所用的密钥都要保守秘密。由于计算速度快而广泛应用于对大量数据库文件的加密过程中，如RD4和DES。（4）接收方不可抵赖数字签名。这种方法既可以防止发送方的抵赖，也可以防止接收方的抵赖，适合通信要求比较高的场合。但是这种方法加密和解密次数过多，影响了数据传输的效率。（5）基于时间戳的数字签名。该方法引入时间戳的概念，减少了数据加密和解密的次数，也减少了确认信息加密和解密的时间，并且在保证数据传输的可靠性、安全性和发送方、接收方都不可抵赖的情况下提高了数据加密、解密和传输的效率，更适合数据传输要求较高的场合。数字签名技术作为信息安全的一项重要技术，其应用领域也日益广泛。伴随着计算机网络的飞速发展，许多领域对数字签名技术提出了新的应用需求。目前应用于一些特殊场合具有特殊用途的数字签名需求正在逐步增长。如防失败签名(Fail-stop)将防范拥有充足计算资源的攻击者；盲签名(Blind Signature)将更为广泛地用于选举投票和数字货币协议中；而群签名(Group-oriented Signa-ture)在网上大规模的集团采购中会发挥更加重要的作用，将显著降低电子商务交易的成本，大大提高交易的效率。第四章 网络信息安全防护体系随着攻击手段的不断演变，传统的依靠防火墙、加密和身份认证等手段已经满足不了要求，监测和响应环节在现代网络安全体系中的地位越来越重要，正在逐步成为构建网络安全体系中的重要部分，不仅是单纯的网络运行过程的防护，还包括对网络的安全评估，以及使用安全防护技术后的服务体系(如图4-1所示)。网络安全防护体系机构网络安全评估安全防护系统漏洞扫描网络管理评估网络监控应急服务体系数据保密数据恢复网络访问控制病毒防护体系安全技术培训网络安全服务图4-1 带加密的数字签名14第五章 结论网络信息安全是一个不断变化、快速更新的领域。这就意味着单纯运用某一种防护措施是无法保证网络信息安全的，我们必须综合运用各种防护策略，集众家之所长，互相配合，从而建立起网络信息安全的防护体系。因此，我们对网络信息安全的防护必须非常谨慎，最大程度地降低黑客人侵的可能，从而保护网络信息的安全。参考文献1彭晓明应对飞速发展的计算机网络的安全技术探索J硅谷，2009；2李勇浅析计算机网络安全与防范J蚌埠党校学报，2009；3蔺婧娜浅谈计算机网络安全与防御J经营管理者，2009；4卢鹏计算机网络安全及其防护策略探析J硅谷，2009；5王永中计算机网络管理技术及其应用J科技信息导报，2007；6石志国计算机网络安全教程M北京：清华大学出版社，2004；7戴英侠系统安全与入侵检测M北京：清华大学出版社，2002；8赵庆祥、刘自强、金勇杰信息时代计算机网络安全探析J信息安全与通信保密，2009；9苏孝青，盛志华计算机网络安全技术发展与防火墙技术探讨J科技创新导报，2009；10刘冬梅浅析计算机网络安全与防范策略J黑龙江科技信息，2010；11冯秋霜，孙雨兰浅析计算机网络安全与防范技术J黑龙江冶金，2009；12许桢计算机网络安全的现状及对策研究J电脑知识与技术，2009；13黄为基于数字签名技术的Intranet信息安全J电脑知识与技术，2009；14段保护，王键数字签名技术的新探讨J计算机工程与科学，2009；15曲蕴慧，白新国浅谈数字签名技术的原理及应用J福建电脑，2010；16李程数字签名技术综述J电脑知识与技术，2009。-下面是赠送的excel操作练习 不需要的下载后可以编辑删除（Excel 2003部分）1. 公式和函数1. （1）打开当前试题目录下文件excel-10.xls；（2）利用函数计算每个人各阶段总成绩，并利用函数计算各阶段的平均成绩；（3）“平均成绩”行数字格式都为带一位小数（例如0.0）格式；（4）同名存盘。步骤：a) 文件在各阶段总成绩单元格内，点插入，点函数，在对话框中选择求和函数“SUM”，在对话中Number1内点右侧的按钮，将出现另外一个对话框，在文件中选择需要求和的单元格，然后点该对话框的右侧按钮，点确定（完成一个总成绩求和后，利用填充柄完成其他的总成绩求和，或者重复上面的顺序）在平均成绩单元格内，点插入，点函数，选择算术平均值函数AVERAGE，出现对话框后，采用求和时的相同方法，完成操作选中平均成绩行，点右键点设置单元格，点数字，在分类项下点数值，设小数位为1，b) 确定保存2. （1）打开当前试题目录下文件excel-13.xls；（2）根据工作表中给定数据，按“合计=交通费+住宿费+补助”公式计算“合计”数，并计算交通费、住宿费和补助的合计数；（3）所有数字以单元格格式中货币类的“￥”货币符号、小数点后2位数表现（如：￥2,115.00格式）；（4）同名存盘。打开当前试题目录下文件excel-13.xls在合计下的一个单元格内输入“=交通费（在该行的单元格，假如说是E3）+住宿费（同上）+补助（同上）”，回车（其他的合计可以采用填充柄完成，或者重复上面的顺序）利用求和函数，参考1中的方法完成交通费、住宿费和补助的合计选择文件中的所有数字单元格，点右键，点设置单元格格式，点数字，点货币，选择货币符号为“￥”，设置小数点后为2位，确定保存文件本题完成3. （1）打开当前试题目录下文件excel-2.xls；（2）根据工作表中数据，计算“总成绩”列的数据。总成绩=一阶段成绩×0.3+二阶段成绩×0.3+三阶段成绩×0.4；（3）“总成绩”列数据格式为小数点后2位小数（例：6.20）；（4）同名存盘。打开当前试题目录下文件excel-2.xls在总成绩下的一个单元格内输入“=一阶段成绩（在该行的单元格，假如说是E3）*0.3+住宿费（同上）*0.3+补助（同上）*0.4”，回车（其他的合计可以采用填充柄完成，或者重复上面的顺序）选中总成绩列的数据单元格，点右键，点设置单元格格式，点数字，点数值，设置小数点后为2位，确定保存文件本题完成4. （1）打开当前试题目录下文件excel-3.xls；（2）计算“审定费”和“税后款”，“审定费=全书字数÷1000×3，税后款=审定费-审定费×5%”；（3）利用菜单将“审定费”和“税后款”列格式设置为货币类的“￥”货币符号、小数点1位（例￥1,280.0）；（4）同名存盘。打开当前试题目录下文件excel-3.xls在审定费下的一个单元格内输入“=全书字数（在该行的单元格，假如说是E3）/1000*3”，回车（其他的审定费可以采用填充柄完成，或者重复上面的顺序）在税后款下的一个单元格内输入“=审定费（在该行的单元格，假如说是F3）-审定费*5%”，回车（其他的税后款可以采用填充柄完成，或者重复上面的顺序）选中审定费及税后款列的数据单元格，点右键，点设置单元格格式，点货币，选择货币符号“￥”，设置小数点后为1位，确定保存文件本题完成5. （1）打开当前试题目录下文件excel-8.xls；（2）利用函数计算“总成绩”，利用公式“平均成绩=总成绩÷3”来计算“平均成绩”；（3）同名存盘。打开当前试题目录下文件excel-8.xls在总成绩下的一个单元格，点插入，点函数，在对话框中选求和函数“SUM”，在对话中Number1内点右侧的按钮，将出现另外一个对话框，在文件中选择需要求和的单元格，然后点该对话框的右侧按钮，点确定（完成一个总成绩求和后，利用填充柄完成其他的总成绩求和，或者重复上面的顺序在平均成绩下的一个单元格内，输入“=平均成绩（在该行的单元格，假如说是B3）/3”，回车（其他平均成绩可以采用填充柄完成，或者重复上面的顺序）保存文件本题完成6. （1）打开当前试题目录下文件excel-1.xls；（2）利用公式计算每个项目的“合计”；（3）“合计”列数据的格式和其它数据的格式相同；（4）同名存盘。打开当前试题目录下文件excel-1.xls在合计下的一个单元格，点插入，点函数，在对话框中选求和函数“SUM”，在对话中Number1内点右侧的按钮，将出现另外一个对话框，在文件中选择需要求和的单元格，然后点该对话框的右侧按钮，点确定（完成一个总成绩求和后，利用填充柄完成其他的总成绩求和，或者重复上面的顺序利用格式刷将合计的列的数据格式刷成与其他数据格式相同的格式（使用格式刷的方法是，先选中合计列外的其他任意一个单元格，点格式刷，然后再点需要刷成该样格式的单元格即可）保存文件本题完成7. （1）打开当前试题目录下文件excel-6.xls；（2）计算出“净资产收益率”，