计算机网络安全问题的分析与解决大学生毕业论文范文模板参考资料.doc

《计算机网络安全问题的分析与解决大学生毕业论文范文模板参考资料.doc》由会员分享，可在线阅读，更多相关《计算机网络安全问题的分析与解决大学生毕业论文范文模板参考资料.doc（17页珍藏版）》请在三一办公上搜索。

1、摘 要互联网对现今社会的影响以为人所共知，21世纪全世界的计算机都将通过Internet联到一起，信息安全的内涵也就发生了根本的变化。它不仅是一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在，当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。是计算机技术改变了国家的经济运行和安全运作乃至人们的日常生活方式，然而，这种美好的新的代也带有它自身的风险。所有电脑驱动的系统都很容易受到侵犯和破坏。对重要的经济部门或政府机构的计算机进行任何有计划的攻击都可能产生灾难性的后果，这种危险是客

2、观存在的。我国的网络安全问题还很突出，结合我国网络安全问题的现状，文章给出了几点建议。对于网络存在的常见攻击手段也给出了解决方案。关键字：网络安全 防火墙技术 加密技术 网络安全关键技术目 录第一章 绪论4第二章 网络安全概述5第三章 我国网络安全问题的现状63. 1我国网络安全问题的表现63. 2 制约网络安全的因素73. 3解决网络安全问题的建议9第四章 网络安全问题和解决方案104. 1 以下五中是网络中最长用到的网络攻击手段。104. 2 网络安全的关键技术11第五章 总结16致 谢17附录 ：18参考文献：19第一章 绪论21世纪全世界的计算机都将通过Internet联到一起，信息安

3、全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候，我国将建立起一套完整的网络安全体系，特别是从政策上和法律上建立起有中国自己特色的网络安全体系。一个国家的信息安全体系实际上包括国家的法规和政策，以及技术与市场的发展平台。我国在构建信息防卫系统时，应着力发展自己独特的安全产品，我国要想真正解决网络安全问题，最终的办法就是通过发展民族的安全产业，带动我国网络安全技术的整体提高。 网络安全产品有以下几大特点：第一，网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全

4、了；第二，网络的安全机制与技术要不断地变化；第三，随着网络在社会个方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。 信息安全是国家发展所面临的一个重要问题。对于这个问题，我们还没有从系统的规划上去考虑它，从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分，而且应该看到，发展安全产业的政策是信息安全保障系统的一个重要组成部分，甚至应该看到它对

5、我国未来电子化、信息化的发展将起到非常重要的作用。 第二章 网络安全概述随着个人计算机和服务器的发展,计算机使用的日益普及，便利的网络服务、强大的网络服务器 ,使得Internet以惊人的速度快速膨胀.但Internet给人们带来便利的同时,也带来了很大的危害性.他们从早期的破坏数据、窃取信息,发展到威胁国家的经济发展,国家主权的安危.网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广。一般认为网络安全是指利用网络管理控制和技术措施，保证在网络环境理信息数据的机密性、完整性以及使用性受到保护。安全网络主要是做到或者确保经网络传递的信息，在到达目的地时没有任何增加、改变、丢失、或被非

6、法读取。 以下是网络安全在不同方面的解释：（1）运行系统安全： 包括计算机机房环境的保护，法律，政策的 保护，计算机结构设计上的安全性，硬件系统的可靠安全运行，操作系统和软件的安全，数据库系统的安全，电磁信息泄漏的防护的。 本质上是保护系统的合法使用和正常运行。（2）网络上系统信息的安全： 包括用户名鉴别、用户存取权限控制。数据存取权限、控制访问方式和合理化要求、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。（3）网络上信息的安全： 包括信息的保密性、真实、完整性、和不受破坏性方面的措施，灾难性补救办等等。（4）网络上信息传播的安全：包括信息的过滤和防止有害信息的传播扩散等。随着信息化进

7、程的深入和互联网的迅速发展，人们的工作、学习和生活方式正在发生巨大变化，效率大为提高，信息资源得到最大程度的共享。但必须看到，紧随信息化发展而来的网络安全问题日渐凸出，如果不很好地解决这个问题，必将阻碍信息化发展的进程。第三章 我国网络安全问题的现状3. 1我国网络安全问题的表现(1)计算机系统遭受病毒感染和破坏的情况相当严重。据2001年调查，我国约73%的计算机用户曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用户高达59%。(2)电脑黑客活动已形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性，从国内情况来看，目前我国95%与互联网相联的网络管理中心都遭受过境内

8、外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。(3)信息基础设施面临网络安全的挑战。面对信息安全的严峻形势，我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。(4)网络政治颠覆活动频繁。国内外反动势力利用互联网组党结社，进行针对我国党和政府的非法组织和串联活动，猖獗频繁，屡禁不止。尤其是一些非法组织有计划地通过网络渠道，宣传异教邪说，妄图扰乱人心，扰乱社会秩序。3. 2 制约网络安全的因素（1）计算机网络和软件核心技术不成熟 我国信息化建设过程中缺乏自主技术支撑。计算机安全存在三大黑洞：CPU芯片、操作系统和数据库、网关软件大多依赖进口。信息安全专家、中国科学

9、院高能物理研究所研究员许榕生曾一针见血地点出我国信息系统的要害：“我们的网络发展很快，但安全状况如何？现在有很多人投很多钱去建网络，实际上并不清楚它只有一半根基，建的是没有防范的网。有的网络顾问公司建了很多网，市场布好，但建的是裸网，没有保护，就像房产公司盖了很多楼，门窗都不加锁就交付给业主去住。”我国计算机网络所使用的网管设备和软件基本上是舶来品，这些因素使我国计算机网络的安全性能大大降低，被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术，我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，网络安全处于极脆弱的状态。（2）安全意识淡薄 目前，在网络安全问题上还存在不少认知盲区和制

10、约因素。网络是新生事物，许多人一接触就忙着用于学习、工作和娱乐等，对网络信息的安全性无暇顾及，安全意识相当淡薄，对网络信息不安全的事实认识不足。与此同时，网络经营者和机构用户注重的是网络效应，对安全领域的投入和管理远远不能满足安全防范的要求。总体上看，网络信息安全处于被动的封堵漏洞状态，从上到下普遍存在侥幸心理，没有形成主动防范、积极应对的全民意识，更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。整个信息安全系统在迅速反应、快速行动和预警防范等主要方面，缺少方向感、敏感度和应对能力。（3）运行管理机制的缺陷和不足 运行管理是过程管理，是实现全网安全和动态安全的关键。有关信息安全的政策、

11、计划和管理手段等最终都会在运行管理机制上体现出来。就目前的运行管理机制来看，有以下几方面的缺陷和不足。 第一，网络安全管理方面人才匮乏：由于互联网通信成本极低，分布式客户服务器和不同种类配置不断出新和发展。按理，由于技术应用的扩展，技术的管理也应同步扩展，但从事系统管理的人员却往往并不具备安全管理所需的技能、资源和利益导向。信息安全技术管理方面的人才无论是数量还是水平，都无法适应信息安全形势的需要。 第二，安全措施不到位：互联网越来越具有综合性和动态性特点，这同时也是互联网不安全因素的原因所在。然而，网络用户对此缺乏认识，未进入安全就绪状态就急于操作，结果导致敏感数据暴露，使系统遭受风险。配置

12、不当或过时的操作系统、邮件程序和内部网络都存在入侵者可利用的缺陷，如果缺乏周密有效的安全措施，就无法发现和及时查堵安全漏洞。当厂商发布补丁或升级软件来解决安全问题时，许多用户的系统不进行同步升级，原因是管理者未充分意识到网络不安全的风险所在，未引起重视。 第三，缺乏综合性的解决方案：面对复杂的不断变化的互联网世界，大多数用户缺乏综合性的安全管理解决方案，稍有安全意识的用户越来越依赖“银弹”方案(如防火墙和加密技术)，但这些用户也就此产生了虚假的安全感，渐渐丧失警惕。实际上，一次性使用一种方案并不能保证系统一劳永逸和高枕无忧，网络安全问题远远不是防毒软件和防火墙能够解决的，也不是大量标准安全产品

13、简单碓砌就能解决的。近年来，国外的一些互联网安全产品厂商及时应变，由防病毒软件供应商转变为企业安全解决方案的提供者，他们相继在我国推出多种全面的企业安全解决方案，包括风险评估和漏洞检测、入侵检测、防火墙和虚拟专用网、防病毒和内容过滤解决方案，以及企业管理解决方案等一整套综合性安全管理解决方案。第四，缺乏制度化的防范机制 。不少单位没有从管理制度上建立相应的安全防范机制，在整个运行过程中，缺乏行之有效的安全检查和应对保护制度。不完善的制度滋长了网络管理者和内部人士自身的违法行为。许多网络犯罪行为(尤其是非法操作)都是因为内部联网电脑和系统管理制度疏于管理而得逞的。同时，政策法规难以适应网络发展的

14、需要，信息立法还存在相当多的空白。个人隐私保护法、数据库保护法、数字媒体法、数字签名认证法、计算机犯罪法以及计算机安全监管法等信息空间正常运作所需的配套法规尚不健全。由于网络作案手段新、时间短、不留痕迹等特点，给侦破和审理网上犯罪案件带来极大困难。3. 3解决网络安全问题的建议 （1）在国家层面上尽快提出一个具有战略眼光的“国家网络安全计划”。充分研究和分析国家在信息领域的利益和所面临的内外部威胁，结合我国国情制定的计划能全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系，并投入足够的资金加强关键基础设施的信息安全保护。 （2）建立有效的国家信息安全管理体系。改变原

15、来职能不匹配、重叠、交叉和相互冲突等不合理状况，提高政府的管理职能和效率。 （3）加快出台相关法律法规。改变目前一些相关法律法规太笼统、缺乏操作性的现状，对各种信息主体的权利、义务和法律责任，做出明晰的法律界定。 （4）在信息技术尤其是信息安全关键产品的研发方面，提供全局性的具有超前意识的发展目标和相关产业政策，保障信息技术产业和信息安全产品市场有序发展。 （5）加强我国信息安全基础设施建设，建立一个功能齐备、全局协调的安全技术平台(包括应急响应、技术防范和公共密钥基础设施(PKI)等系统)，与信息安全管理体系相互支撑和配合。（6）技术人员的着重培养和普遍提高网络管理员的安全防范意识，作到控防

16、结合。第四章 网络安全问题和解决方案4. 1 以下五中是网络中最长用到的网络攻击手段。（1）口令攻击：即弱口令的猜测和暴力破解。解决方法：设置复杂的密码，建议使用大小写字母加数字和特殊符号。（2）木马攻击： 即利用合法的用户身份植入后门程序来实现其背后不可告人的目的。解决方法：使用木马检测工具；更新病毒库；经常查看系统日志（3）Unicode编码漏洞攻击： 利用版本缺陷以匿名身份通过浏览器远程等到陆服务器上，肆意破坏数据等。解决方法：定期下载补丁程序。（4）源码泄漏攻击：攻击者对源码分析，找出漏洞并加以利用，最后达到不可告人的目的。解决方法：进行源码加密。（5）DDos 攻击： 拒绝服务攻击；

17、破坏信息的正常传播，使其他合法用户得不到服务器的服务。解决方法：配备放火墙，入侵检测系统。4. 2 网络安全的关键技术a) 主机安全技术：加强网络上结点计算机的安全；包括：系统防火墙的规则设置、更新。系统漏洞补丁升级更新，在人们的潜意识里增加安全防范意识等 等。b) 身份认证技术：身份验证技术可以阻止或减少由于非法用户的登陆对系统的恶意或非法操作。在用户访问服务器上任何信息之前，可以要求用户提供有效的 Microsoft，Windows用户帐户、用户名和密码。该标识过程称为“身份验证”。可以在网站或 FTP 站点、目录或文件级别设置身份验证。可以使用 Internet 信息服务（IIS 提供的

18、）身份验证方法来控制对网站和 FTP 站点的访问。（ 包括下列信息：网站验证：介绍符合您验证用户网站访问要求的身份验证方法。 FTP 站点身份验证：介绍符合您验证用户 FTP 站点访问要求的身份验证方法。）c) 访问控制技术：对信息的权限的控制，阻止了非授权用户进行的信息的浏览，修改甚至破坏。适当地控制对 Web 和 FTP 内容的访问是安全运行 Web 服务器的关键。使用 Windows 和 IIS 中的安全功能，您可以有效地控制用户访问您 Web 和 FTP 内容的方式。可以控制多级访问，从整个网站和 FTP 站点到单独的文件。每个帐户均被授予用户特权和权限。用户特权是指在计算机或网络上执

19、行特定操作的权力。权限是与对象（如文件或文件夹）关联的规则，用于控制哪些帐户可以获得对象的访问权限。d) 防火墙技术：主要的技术有数据包过滤技术、应用网关和代理服务等；防火墙体系结构在网络中的设置应用。例如屏蔽子网型防火墙。它是由两个包过滤路由器和两个堡垒机组成。堡垒主机和服务器放置在一个处于内外网的小型网络（Dmz 非军事区）中。连接外网的包过滤路由器主要用来防止外网的攻击。并管理外网对dmz的访问。第二给个包过滤路由器是它置接受源于堡垒主机的数据，负责管理mz和内网之间的访问。这样对外网，内部网是不可见的。同理对于内网外网是不可见的，内网眼通过代理服务才能访问外网。对于入侵者必须通过外部路

20、由器和堡垒主机，内部路由器才能入侵到内网中。到目前可以认为是最安全的。e) 安全审计技术：安全策略的订制和授权信息的验证技术是该技术的重点部分。可以使用安全审核技术跟踪用户活动并检测对 NTFS 目录和文件的未经授权的访问。（可供审核的活动包括：用户成功和失败的登录；用户试图访问受到限制的帐户；用户试图执行受到限制的命令）f) 安全管理技术：新的安全管理技术的研发应用可以代替人们常规的操作减少可能由于疏忽导致的人为错误；提高管理员的安全意和管理水平，定期的安全综合培训必不可少。即使做好了上述的几种技术网络也不一定是安全的。只有在网络上的计算机实施了好的安全技术其中所要面临的危险就会少一些，安全

21、的级别就会高一些。具体的网络安全等级标准： （可参见附录）随着新的漏洞的发现和公布，随着新技术的发展，随着新工具的出现，只有不断的更新系统补丁，实施新的安全技术，提高网络管理水平，才能将网络变的“固若金汤”。为了实现安全的网络，我们应进行深入的研究，开发出自己的网络安全产品。以适应我国的需要，避免外国的网络安全产品把我们自己的网络变的不安全。安全的防火墙技术从整体上看是网络安全管理的一把利器。我们不妨展望一下未来防火墙的发展趋势！Internet 发展速度日新月异，各种网络攻防技术不断推陈出新，对于下一代防火墙是一个挑战，从防火墙的功能上推算应该具有：（1）过滤功能不断的增强和扩展，从目前的地

22、址、服务的过滤到对数据片，内容，连接状态的检查；从静态包过滤到动态包过滤，还有过滤规则的设定更加快速、灵活、智能、增加对病毒、url 、关键字的过滤和扫描。（2） 防火墙从技术上更加综合，不仅结合了包过滤和网关过滤技术，还采用数据加密技术，强化身份验证等控制访问措施。利用防火墙构建虚拟专用网将是主流，将充分利用安全协议。（3）增加网络攻击预警功能，完善安全管理工具。总之未来的防火墙技术将会全面的考虑网络安全，操作系统的安全，应用程序的安全，用户安全，数据安全等等多方面的，成为包过滤技术，代理服务技术，入侵检测技术，病毒检测防护技和数据加密技术等多技术的综合体。网络防火墙技术是一种用来加强网络之

23、间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。 自从1

24、986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统，提出了防火墙概念后，防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。 防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。 作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应

25、用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。 根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、代理型和监测型。 1、包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的

26、地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。 2、网络地址转化NAT 网络地址转换是一种用于把IP地址转换成临时的

27、、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。 在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部

28、计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。 3、代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与

29、内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。 4、监测型 监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务

30、器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品 虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总

31、拥有成本。 实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。第五章 总结随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是

32、确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。本论文从多方面描述了网络安全的解决方案，目的在于为用户提供信息的保密，认证和完整性保护机制，使网络中的服务，数据以及系统免受侵扰和破坏。比如防火墙，认证，加密技术等都是当今常用的方法，本论文从这些方法入手深入研究各个方面的网络安全问题的解决，可以使读者有对网络安全技术的更深刻的了解。附录 ：网络安全等级标准：（可信任计算机评价标准准则）类别名称主要特点A可验证的安全标准形式化得最高描述和验证B3安全域机制安全内核，高抗渗透能力B2结构化安全保护设计过得合理得总体设计方案，面向安全得体系结构B1标号安全保护除了C2的需求还增加了安全策略模型C2受控得访问环境存取控制以用户为单位广泛地审C1选择的安全保护有选择地存取控制，用户与数据分离D最少保护措施少，没有安全功能参考文献：1 杨东柱 黑客X档案200下卷 2 许兴、田慕司 中国网络安全报告 第57期 3 刘萌铭、李金海 计算机安全技术 4 蒋平、李冬静 信息对抗 5 唐正军、李建华 入侵检测技术 清华大学出版社6 罗耀祖 网络安全技术 北京大学