本文目录一览：

• 1、网络空间面临的风险有
• 2、互联网未来的发展趋势
• 3、通常说的“网络黑客”具体是什么概念？
• 4、网络与信息安全、信息安全有什么区别呢？
• 5、信息安全与信息安全技术有什么区别？
• 6、什么叫网络黑客

网络空间面临的风险有

网络空间关键基础设施和关键基础资源受制于人。由于国际互联网发源于美国，美国利用先发优势掌控了国际互联网关键基础设施和关键基础资源，形成了对全球各国互联网发展的把控和威慑。以发挥互联网运行总控作用的根域名服务器为例，它犹如互联网运行“心脏”，美国政府掌控了全球13台根域名服务器中的10台，美国只要简单配置一下根域名服务器，就可以让某个国家在网络空间中消失。另外，IP地址资源犹如地址门牌号，是发展互联网业务不可或缺的重要资源。美国政府长期利用ICANN机构操控着国际互联网地址分配，自己占据了大量优质地址资源，造成了全球网络地址资源分配严重不均，对包括我国在内的互联网业务快速崛起国家形成了有效的资源遏制。尽管ICANN管辖权已经移交，但美国政府仍然能通过多种手段形成对ICANN机构业务管理的影响。

互联网未来的发展趋势

一是互联网将成为全球产业转型升级的重要助推器。互联网正在为全球产业发展构建起全新的发展和运行模式，推动产业组织模式、服务模式和商业模式全面创新，加速产业转型升级。众包、众创、众筹、网络制造等无边界、人人参与、平台化、社会化的产业组织新模式将让全球各类创新要素资源得到有效适配和聚合优化，移动服务、精准营销、就近提供、个性定制、线上线下融合、跨境电商、智慧物流等服务将让供求信息得到及时有效对接，按需定制、人人参与、体验制造、产销一体、协作分享等新商业模式将全面变革产业运行模式，重塑产业发展方式。互联网构建的网络空间，将让产业发展更好地聚集创新要素，更好地应对资源和环境等外部挑战，将推动全球产业发展迈入创新、协调、绿色、共享、开放的数字经济新时代。

二是互联网将成为世界创新发展的重要新引擎。互联网已经成为全球技术创新、服务创新、业态创新和商业模式创新最为活跃的领域，互联网企业正在成为未来全球创新驱动发展中最为广泛、最为耀眼、最为强劲的创新动能源泉，成为全球技术创新、产业创新、业态创新、产品创新、市场创新和管理创新的引领者。人口、资源、市场等驱动国家发展的传统红利要素，正在全面让位互联网创新发展的红利，互联网创新将成为推动世界持续发展的重要新动能，带着人类全面跨入创新发展的快车道，创新、智能、变革的社会正因为互联网创新加速到来。

三是互联网将成为造福人类的重要新渠道。科技改变未来、让生活更美好，正在因为互联网发展得到广泛体验。互联网促进了开放共享发展，泛在化的网络信息接入设施、便捷化的“互联网+”出行信息服务、全天候的指尖网络零售模式、“一站式”旅游在途体验、数字化网络空间学习环境、普惠化在线医疗服务、智能化在线养老体验、无时空的网络社交娱乐环境将全面点亮智慧地球，开启人类智慧生活新时代，将极大地促进国家、区域、城乡、人群等的协调、开放和共享发展，促进世界发展成果更好地惠及全人类。

四是互联网将成为各国治国理政的新平台。“指尖治国”将成为新常态，“互联网+”政务服务、移动政务、大数据决策、微博、微信、脸谱、推特等的广泛应用将深刻改变政府传统运行模式，构建起网络化、在线化、数据化和智能化全天候政府，精准服务、在线监管、预测预判、事中事后处置、网络民意调查等能力全面提升，不仅创新了宏观调控、社会管理、公共服务和市场监管模式，更是促进国家治理能力和治理体系现代化。

五是互联网将成为国际交流合作的新舞台。互联网正在开启一个大连接时代，网络让世界变成了“鸡犬之声相闻”的地球村，相隔万里的人们不再“老死不相往来”。互联网服务已经成为国际交流合作的重要桥梁，不仅让不同国家、区域、民族、种族和宗教等的人群文化交流和业务合作起来，更是开启了一个新的世界外交时代，资源外交、市场外交、金融外交、军事外交等时代正在成为过去，以人为本、服务发展为宗旨的互联网服务外交、互联网企业家外交的时代将全面开启，世界交流合作正在因为互联网而变得紧密和和谐。

六是互联网将成为国家对抗的新战场。互联网和经济社会的融合发展让网络空间成为了各国经济社会活动的重要新空间，世界许多国家都将网络空间视为继领土、领海、领空、太空之后的第五战略空间。随着经济社会活动向网络空间的延伸，未来网络空间承载的经济社会和国家安全价值将越来越大，谁率先掌握了网络空间规则制定，谁就赢得未来发展的主导权。网络空间正在深刻地影响着国际关系，未来各国围绕网络空间争夺将会变得更加激烈，各国在网络空间的无硝烟对抗冷战将长期持续存在。和平与发展是世界未来之大势，加强国际互联网治理，尊重网络空间主权，维护网络空间和平安全，减少网络空间摩擦，寻求网络空间利益共同点，建立网络空间新型大国关系，构建网络空间命运共同体，将成为未来世界谋求新发展共同的呼声。

七是互联网将成为国际竞争的新利器。互联网互联互通，网络没有国界，受各国政策壁垒较少，全球化的互联网服务将成为一国参与国际竞争的重要利器，互联网服务输出将成为数字经济时代一国构建国际竞争力的重要手段，网络服务将成为互联网发达国家对不发达国家进行政治渗透、经济渗透和社会动员的重要手段，国家之间政治、经济、社会、军事等各类竞争越来越离不开互联网。建立和完善网络空间对话协商机制，研究制定全球互联网治理规则，使全球互联网治理体系更加公正合理，更加平衡地反映大多数国家意愿和利益，才能更好地促进各国的竞争与合作，才能更好地构建公正合理的国际政治经济新秩序，才能更好地促进世界共同发展和共同繁荣。

八是互联网将开启信用社会发展新序幕。互联网正在为经济社会发展构建一个网络化、在线化的数字化运行空间，与互联网相关的各类经济社会活动均在网络空间中数字形式保存了下来，全程记录、处处留痕、事后可溯等模式将让网络经济时代经济社会活动更加可溯、可治、可信，个人信用、企业信用等信用信息将变得可实时化采集和综合化分析利用，信用成为了网络经济时代最为宝贵的财富，基于信用的经济社会活动将更加全面普及，互联网将开启全球信用社会发展新序幕。

九是网络安全将将成为人类面临的共同挑战。互联网为人类社会构建了全新的发展空间，随着网络空间成为了人类发展新的价值要地，网络空间安全问题日益突出。网络攻击日趋复杂，网络黑客呈现出规模化、组织化、产业化和专业化等发展特点，攻击手段日新月异、攻击频率日益频繁、攻击规模日益庞大，各类网络攻击事件对全球经济社会发展造成的影响越来越大。网络犯罪日益呈现出分工精细化、利益链条化、操作专业化等特点，社交软件已经成为网络犯罪的重要工具和阵地，网络犯罪年年持续递增，影响越来越大，已经成为许多国家第一大犯罪类型。重大网络数据泄露事件频繁发生，社会破坏性越来越大，对保障个人隐私、商业秘密和各国安全都造成了极大影响。网络恐怖主义加速蔓延，恐怖主义利用互联网内外遥相呼应，对各国安全造成了巨大挑战。另外，随着互联网向物联网领域的拓展，网络安全问题延伸到了经济社会各个领域，未来网络安全问题将像火灾一样无处不在。加强网络空间治理，打击网络犯罪和网络恐怖主义，携手共同应对全球网络安全问题，将成为来世界共同发展的重要议题。

通常说的“网络黑客”具体是什么概念？

黑客就是在网络上，能为所欲为，俱有破坏力，神秘的网络高手

利用，网络安全的脆弱性及网上漏洞，有网上进行诸如修改网页、非法进入主机破坏程序，串入银行网络转移金额、进行电子邮件骚扰以及阻塞用户和窃取密码等行为。

什么是网络黑客?

以现在人们对黑客一词定义，就是在网络上，能为所欲为，俱有破坏力，神秘的网络高手。如果以大小来分的话，则“大黑客”能入侵美国五角大楼，任意修改大网站主页......次之“小黑客”，也许是跟网友利益关系得比较密切的一群，这些小黑客们“可以把你从QQ上轰下线来，盗取你的QQ，E－MAIL，BBS的ID等等的密码，甚至进入你的电脑，盗取上网帐号，盗取你硬盘上的任何文件，偷偷地格式化你的硬盘，监视你的屏幕，静静地看着你一举一动，像幽灵般窥视着你......要以年龄来分大多数小黑客们都在12,3岁到17,8岁之间，“大黑客”以10几岁到20多岁的在校大学生和年青的与电脑网络有关的工作者为多。

黑客常用手段

1、网络扫描--在Internet上进行广泛搜索，以找出特定计算机或软件中的弱点。

2、网络嗅探程序--偷偷查看通过I网络的数据包，以捕获口令或全部内容。通过安装侦听器程序来监视网络数据流，从而获取连接网络系统时用户键入的用户名和口令。

3、拒绝服务攻击 -通过反复向某个Web站点的设备发送过多的信息请求，黑客可以有效地堵塞该站点上的系统，导致无法完成应有的网络服务项目(例如电子邮件系统或联机功能)，称为“拒绝服务”问题。

4、欺骗用户--伪造电子邮件地址或Web页地址，从用户处骗得口令、信用卡号码等。欺骗是用来骗取目标系统，使之认为信息是来自或发向其所相信的人的过程。欺骗可在IP层及之上发生（地址解析欺骗、IP源地址欺骗、电子邮件欺骗等）。当一台主机的IP地址假定为有效，并为Tcp和Udp服务所相信。利用IP地址的源路由，一个攻击者的主机可以被伪装成一个被信任的主机或客户。

5、特洛伊木马--一种用户察觉不到的程序，其中含有可利用一些软件中已知弱点的指令。

6、后门--为防原来的进入点被探测到，留几个隐藏的路径以方便再次进入。

7、恶意小程序--微型程序，修改硬盘上的文件，发送虚假电子邮件或窃取口令。

8、竞争拨号程序--能自动拨成千上万个电话号码以寻找进入调制解调器连接的路径。逻辑炸弹计算机程序中的一条指令，能触发恶意操作。

9、缓冲器溢出-- 向计算机内存缓冲器发送过多的数据，以摧毁计算机控制系统或获得计算机控制权。

10、口令破译--用软件猜出口令。通常的做法是通过监视通信信道上的口令数据包，破解口令的加密形式。

11、社交工程--与公司雇员谈话，套出有价值的信息。

12、垃圾桶潜水--仔细检查公司的垃圾，以发现能帮助进入公司计算机的信息。

金山网镖为什么要反黑客网站?

不良黑客利用网络安全的脆弱性,把网上任何漏洞和缺陷作为“靶子”,在网上进行诸如修改网页、非法进入主机破坏程序、串入银行网络转移金额、窃取网上信息兴风作浪、进行电子邮件骚扰以及阻塞用户和窃取密码等行为。政府、军事和金融网络更是他们攻击的主要目标。美国司法部主页被纳粹标志所取代,美国空军站点由于黑客攻击不得不暂时关闭,美国金融界由于计算机犯罪造成的金额损失每年计近百亿美元。

目前国内这种形式的犯罪正呈现增长趋势，如果没有有效的防护方法，后果将不堪设想。为保障广大网民的利益免受侵犯，金山网镖增加反黑客网站功能。

黑客攻击的方法

1、隐藏黑客的位置

典型的黑客会使用如下技术隐藏他们真实的IP地址:

利用被侵入的主机作为跳板;

在安装Windows 的计算机内利用Wingate 软件作为跳板;利用配置不当的Proxy作为跳板。

更老练的黑客会使用电话转接技术隐蔽自己。他们常用的手法有:利用800 号电话的私人转接服务联接ISP, 然后再盗用他人的账号上网;通过电话联接一台主机,再经由主机进入Internet。

使用这种在电话网络上的"三级跳"方式进入Internet 特别难于跟踪。理论上,黑客可能来自世界任何一个角落。如果黑客使用800号拨号上网,他更不用担心上网费用。

2、网络探测和资料收集

黑客利用以下的手段得知位于内部网和外部网的主机名。

使用nslookup 程序的ls命令;

通过访问公司主页找到其他主机;

阅读FTP服务器上的文挡;

联接至mailserver 并发送 expn请求;

Finger 外部主机上的用户名。

在寻找漏洞之前,黑客会试图搜集足够的信息以勾勒出整个网络的布局。利用上述操作得到的信息,黑客很容易列出所有的主机,并猜测它们之间的关系。

3、找出被信任的主机

黑客总是寻找那些被信任的主机。这些主机可能是管理员使用的机器,或是一台被认为是很安全的服务器。

第一步,他会检查所有运行nfsd或mountd的主机的NFS输出。往往这些主机的一些关键目录(如/usr/bin、/etc和/home)可以被那台被信任的主机mount。

Finger daemon 也可以被用来寻找被信任的主机和用户,因为用户经常从某台特定的主机上登录。

黑客还会检查其他方式的信任关系。比如,他可以利用CGI 的漏洞,读取/etc/hosts.allow 文件等等。

分析完上述的各种检查结果,就可以大致了解主机间的信任关系。下一步, 就是探测这些被信任的主机哪些存在漏洞,可以被远程侵入。

4、找出有漏洞的网络成员

当黑客得到公司内外部主机的清单后,他就可以用一些Linux 扫描器程序寻找这些主机的漏洞。黑客一般寻找网络速度很快的Linux 主机运行这些扫描程序。

所有这些扫描程序都会进行下列检查:

TCP 端口扫描;

RPC 服务列表;

NFS 输出列表;

共享(如samba、netbiox)列表;

缺省账号检查;

Sendmail、IMAP、POP3、RPC status 和RPC mountd 有缺陷版本检测。

进行完这些扫描,黑客对哪些主机有机可乘已胸有成竹了。

如果路由器兼容SNMP协议,有经验的黑客还会采用攻击性的SNMP 扫描程序进行尝试, 或者使用"蛮力式"程序去猜测这些设备的公共和私有community strings。

5、利用漏洞

现在,黑客找到了所有被信任的外部主机,也已经找到了外部主机所有可能存在的漏洞。下一步就该开始动手入侵主机了。

黑客会选择一台被信任的外部主机进行尝试。一旦成功侵入,黑客将从这里出发,设法进入公司内部的网络。但这种方法是否成功要看公司内部主机和外部主机间的过滤策略了。攻击外部主机时,黑客一般是运行某个程序,利用外部主机上运行的有漏洞的daemon窃取控制权。有漏洞的daemon包括Sendmail、IMAP、POP3各个漏洞的版本,以及RPC服务中诸如statd、mountd、pcnfsd等。有时,那些攻击程序必须在与被攻击主机相同的平台上进行编译。

6、获得控制权

黑客利用daemon的漏洞进入系统后会做两件事:清除记录和留下后门。

他会安装一些后门程序,以便以后可以不被察觉地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用,甚至于新文件的大小都和原有文件一样。黑客一般会使用rcp 传递这些文件,以便不留下FTP记录。

一旦确认自己是安全的,黑客就开始侵袭公司的整个内部网

7．窃取网络资源和特权

黑客找到攻击目标后,会继续下一步的攻击,步骤如下:

（1）下载敏感信息

如果黑客的目的是从某机构内部的FTP或WWW服务器上下载敏感信息,他可以利用已经被侵入的某台外部主机轻而易举地得到这些资料。

（2）攻击其他被信任的主机和网络

大多数的黑客仅仅为了探测内部网上的主机并取得控制权,只有那些"雄心勃勃"的黑客,为了控制整个网络才会安装特洛伊木马和后门程序,并清除记录。 那些希望从关键服务器上下载数据的黑客,常常不会满足于以一种方式进入关键服务器。他们会费尽心机找出被关键服务器信任的主机,安排好几条备用通道。

（3）安装sniffers

在内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用"sniffer" 程序。 黑客会使用上面各节提到的方法,获得系统的控制权并留下再次侵入的后门,以保证sniffer能够执行。

（4）瘫痪网络

如果黑客已经侵入了运行数据库、网络操作系统等关键应用程序的服务器,使网络瘫痪一段时间是轻而易举的事。 如果黑客已经进入了公司的内部网,他可以利用许多路由器的弱点重新启动、甚至关闭路由器。如果他们能够找到最关键的几个路由器的漏洞,则可以使公司的网络彻底瘫痪一段时间

网络与信息安全、信息安全有什么区别呢？

什么是信息安全

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

信息安全的实现目标

◆ 真实性：对信息的来源进行判断，能对伪造来源的信息予以鉴别。

◆ 保密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义。

◆ 完整性：保证数据的一致性，防止数据被非法用户篡改。

◆ 可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝。

◆ 不可抵赖性：建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。

◆ 可控制性：对信息的传播及内容具有控制能力。

◆ 可审查性：对出现的网络安全问题提供调查的依据和手段

主要的信息安全威胁

◆ 窃取：非法用户通过数据窃听的手段获得敏感信息。

◆ 截取：非法用户首先获得信息，再将此信息发送给真实接收者。

◆ 伪造：将伪造的信息发送给接收者。

◆ 篡改：非法用户对合法用户之间的通讯信息进行修改，再发送给接收者。

◆ 拒绝服务攻击：攻击服务系统，造成系统瘫痪，阻止合法用户获得服务。

◆ 行为否认：合法用户否认已经发生的行为。

◆ 非授权访问：未经系统授权而使用网络或计算机资源。

◆ 传播病毒：通过网络传播计算机病毒，其破坏性非常高，而且用户很难防范。

信息安全威胁的主要来源

◆ 自然灾害、意外事故；

◆ 计算机犯罪；

◆ 人为错误，比如使用不当，安全意识差等；

◆ "黑客" 行为；

◆ 内部泄密；

◆ 外部泄密；

◆ 信息丢失；

◆ 电子谍报，比如信息流量分析、信息窃取等；

◆ 信息战；

◆ 网络协议自身缺陷缺陷，例如TCP/IP协议的安全问题等等。

信息安全策略

信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全，不但靠先进的技术，而且也得靠严格的安全管理，法律约束和安全教育：

◆ 先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估，决定其所需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术，形成一个全方位的安全系统；

◆ 严格的安全管理。各计算机网络使用机构，企业和单位应建立相应的网络安全管理办法，加强内部管理，建立合适的网络安全管理系统，加强用户管理和授权管理，建立安全审计和跟踪体系，提高整体网络安全意识；

◆ 制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依，无章可循，导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪，必须建立与网络安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。

信息安全涉及的主要问题

◆ 网络攻击与攻击检测、防范问题

◆ 安全漏洞与安全对策问题

◆ 信息安全保密问题

◆ 系统内部安全防范问题

◆ 防病毒问题

◆ 数据备份与恢复问题、灾难恢复问题

信息安全技术简介

目前，在市场上比较流行，而又能够代表未来发展方向的安全产品大致有以下几类：

◆ 防火墙：防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。主要技术有：包过滤技术，应用网关技术，代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击，并且能够实现数据流的监控、过滤、记录和报告功能，较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题，也可能会是一个潜在的瓶颈。

◆ 安全路由器：由于WAN连接需要专用的路由器设备，因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。

◆ 虚拟专用网(VPN)：虚拟专用网（VPN）是在公共数据网络上，通过采用数据加密技术和访问控制技术，实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙，以实现数据在公共信道上的可信传递。

◆ 安全服务器：安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题，其实现功能包括对局域网资源的管理和控制，对局域网内用户的管理，以及局域网中所有安全相关事件的审计和跟踪。

◆ 电子签证机构--CA和PKI产品：电子签证机构（CA）作为通信的第三方，为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书，为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务，将成为所有应用的计算基础结构的核心部件。

◆ 用户认证产品：由于IC卡技术的日益成熟和完善，IC卡被更为广泛地用于用户认证产品中，用来存储用户的个人私钥，并与其它技术如动态口令相结合，对用户身份进行有效的识别。同时，还可利用IC卡上的个人私钥与数字签名技术结合，实现数字签名机制。随着模式识别技术的发展，诸如指纹、视网膜、脸部特征等高级的身份识别技术也将投入应用，并与数字签名等现有技术结合，必将使得对于用户身份的认证和识别更趋完善。

◆ 安全管理中心：由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。

◆ 入侵检测系统（IDS）：入侵检测，作为传统保护机制（比如访问控制，身份识别等）的有效补充，形成了信息系统中不可或缺的反馈链。

◆ 安全数据库：由于大量的信息存储在计算机数据库内，有些信息是有价值的，也是敏感的，需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

◆ 安全操作系统：给系统中的关键服务器提供安全运行平台，构成安全WWW服务，安全FTP服务，安全SMTP服务等，并作为各类网络安全产品的坚实底座，确保这些安全产品的自身安全。

参考资料：

通过以上你搞懂了信息安全，接下来告诉你网路与信心安全，它是个学科的专业，我的一个朋友的专业就是网络与信息安全，（你区别以下就行了 ）我估计网络与信息安全是信息安全的一个分支。

网路信息安全的关键技术（转）

---- 近几年来，Internet技术日趋成熟，已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。与此同时，数以万计的商业公司、政府机构在多年的犹豫、观望之后，意识到采用Internet技术并使企业数据通信网络成为Internet的延伸已成为发展趋势。这使得企业数据网络正迅速地从以封闭型的专线、专网为特征的第二代技术转向以Internet互联技术为基础的第三代企业信息网络。所有这些，都促使了计算机网络互联技术迅速的大规模使用。

----众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在使用和管理上的无政府状态，逐渐使Internet自身的安全受到严重威胁，与它有关的安全事故屡有发生。对网络安全的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面。这就要求我们对与Internet互连所带来的安全性问题予以足够重视。

防火墙

----“防火墙”是近年发展起来的一种重要安全技术，其特征是通过在网络边界上建立相应的网络通信监控系统，达到保障网络安全的目的。防火墙型安全保障技术假设被保护网络具有明确定义的边界和服务，并且网络安全的威胁仅来自外部网络，进而通过监测、限制、更改跨越“火墙”的数据流，通过尽可能地对外部网络屏蔽有关被保护网络的信息、结构，实现对网络的安全保护。

----“防火墙”技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段。它所保护的对象是网络中有明确闭合边界的一个网块。它的防范对象是来自被保护网块外部的对网络安全的威胁。所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的分隔被保护网络与外部网络的系统。可见，防火墙技术最适合于在企业专网中使用，特别是在企业专网与公共网络互连时使用。

----建立“防火墙”是在对网络的服务功能和拓扑结构仔细分析的基础上，在被保护网络周边通过专用软件、硬件及管理措施的综合，对跨越网络边界和信息提供监测、控制甚至修改的手段。实现防火墙所用的主要技术有数据包过滤、应用网关(Application Gateway)和代理服务器(Proxy Server)等。在此基础上合理的网络拓扑结构及有关技术(在位置和配置上)的适度使用也是保证防火墙有效使用的重要因素。

加密型网络安全技术

----通常网络系统安全保障的实现方法可以分为两大类：以防火墙技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障系统。

----以数据加密和用户确认为基础的开放型安全保障技术是普遍适用的，是对网络服务影响较小的一种途径，并可望成为网络安全问题的最终的一体化解决途径。这一类技术的特征是利用现代的数据加密技术来保护网络系统中包括用户数据在内的所有数据流。只有指定的用户或网络设备才能够解译加密数据，从而在不对网络环境作特殊要求的前提下从根本上解决网络安全的两大要求(网络服务的可用性和信息的完整性)。这类技术一般不需要特殊的网络拓扑结构的支持，因而实施代价主要体现在软件的开发和系统运行维护等方面。这类方法在数据传输过程中不对所经过的网络路径的安全程度作要求(因而不会受之影响)，从而真正实现网络通信过程的端到端的安全保障。目前已经有了相当数量的以不同方法实施的这一类安全保障系统。但是由于大部分数据加密算法源于美国，并且受到美国出口管制法的限制而无法在以国际化为特征的 Internet网络上大规模使用，因而目前以这一途径实现的系统大多局限在应用软件层次。在网络层次上应用和实现的网络一般相对规模较小，限制了以此作为基础的全面的网络安全解决方案的产生。但预计在未来3～5年内，这一类型的网络安全保障系统有希望成为网络安全的主要实现方式。

----1. 分类

----数据加密技术可以分为三类，即对称型加密、不对称型加密和不可逆加密。

----对称型加密使用单个密钥对数据进行加密或解密，其特点是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难，主要是密钥管理困难，使用成本较高，保安性能也不易保证。这类算法的代表是在计算机专网系统中广泛使用的DES（Digital Encryption Standard）算法。

----不对称型加密算法也称公用密钥算法，其特点是有二个密钥（即公用密钥和私有密钥），只有二者搭配使用才能完成加密和解密的全过程。由于不对称算法拥有两个密钥，它特别适用于分布式系统中的数据加密，在Internet中得到了广泛应用。其中公用密钥在网上公布，为数据源对数据加密使用，而用于解密的相应私有密钥则由数据的收信方妥善保管。

----不对称加密的另一用法称为“数字签名（Digital signature）”，即数据源使用其密钥对数据的校验和（Check Sum）或其他与数据内容有关的变量进行加密，而数据接收方则用相应的公用密钥解读“数字签名”，并将解读结果用于对数据完整性的检验。在网络系统中得到应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA算法（Digital Signature Algorithm）。不对称加密法在分布式系统中应用时需注意的问题是如何管理和确认公用密钥的合法性。

----不可逆加密算法的特征是加密过程不需要密钥，并且经过加密的数据无法被解密，只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题，适合在分布式网络系统上使用，但是其加密计算工作量相当可观，所以通常用于数据量有限的情形下的加密，如计算机系统中的口令就是利用不可逆算法加密的。近来随着计算机系统性能的不断改善，不可逆加密的应用逐渐增加。在计算机网络中应用较多的有RSA公司发明的MD5算法和由美国国家标准局建议的可靠不可逆加密标准（SHS:Secure Hash Standard）。

----2. 应用

----加密技术用在网络安全方面通常有两种形式，即面向网络或面向应用服务。

----前者通常工作在网络层或传输层，使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息，从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外，通过适当的密钥管理机制，使用这一方法还可以在公用的互连网络上建立虚拟专用网络，并保障虚拟专用网上信息的安全性。SKIP协议即是近来IETF在这一方面努力的结果。

----面向网络应用服务的加密技术，则是目前较为流行的加密技术的使用方法，例如使用Kerberos服务的Telnet、NFS、Rlogin等，以及用作电子邮件加密的PEM（Privacy Enhanced Mail）和PGP（Pretty Good Privacy）。这一类加密技术的优点在于实现相对较为简单，不需要对电子信息（数据包）所经过的网络的安全性能提出特殊要求，对电子邮件数据实现了端到端的安全保障。

漏洞扫描技术

----漏洞扫描是自动检测远端或本地主机安全脆弱点的技术。它查询TCP/IP端口，并纪录目标的响应，收集关于某些特定项目的有用信息，如正在进行的服务，拥有这些服务的用户，是否支持匿名登录，是否有某些网络服务需要鉴别等。这项技术的具体实现就是安全扫描程序。

----早期的扫描程序是专门为Unix系统编写的，随后情况就发生了变化。现在很多操作系统都支持TCP/IP，因此，几乎每一种平台上都出现了扫描程序。扫描程序对提高Internet安全发挥了很大的作用。

----在任何一个现有的平台上都有几百个熟知的安全脆弱点。人工测试单台主机的这些脆弱点要花几天的时间。在这段时间里，必须不断进行获取、编译或运行代码的工作。这个过程需要重复几百次，既慢又费力且容易出错。而所有这些努力，仅仅是完成了对单台主机的检测。更糟糕的是，在完成一台主机的检测后，留下了一大堆没有统一格式的数据。在人工检测后，又不得不花几天的时间来分析这些变化的数据。而扫描程序可在在很短的时间内就解决这些问题。扫描程序开发者利用可得到的常用攻击方法，并把它们集成到整个扫描中。输出的结果格式统一，容易参考和分析。

----从上述事实可以看出：扫描程序是一个强大的工具，它可以用来为审计收集初步的数据。如同一杆霰弹猎枪，它可以快速而无痛苦地在大范围内发现已知的脆弱点。

----在扫描程序的发展中，已有的扫描程序大约有几十种，有的快捷小巧，能够很好地实现某个单一功能；有的功能完善，界面友好，曾经名噪一时。至今，仍然被广泛使用的扫描程序有NSS、Strobe、SATAN、Ballista、Jakal、 IdentTCPscan、Ogre、WebTrends Security Scanner、CONNECT、FSPScan、XSCAN、 ISS。

入侵检测技术

----人们发现只从防御的角度构造安全系统是不够的。因此，人们开始寻求其他途径来补充保护网络的安全，系统脆弱性评估及入侵检测的研究课题便应运而生。入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程。它不仅检测来自外部的入侵行为，同时也指内部用户的未授权活动。入侵检测应用了以攻为守的策略，它所提供的数据不仅有可能用来发现合法用户滥用特权，还有可能在一定程度上提供追究入侵者法律责任的有效证据。

----从20世纪80年代初开始，国外就有一些研究机构及学校着手有关系统脆弱性分类的研究，如Information Science Institute、Lawrence Livermore National Laboratories 以及UC Davis Computer Security Lab等。系统脆弱性的研究一方面因为 Internet的迅速膨胀，另一方面因为入侵检测的兴起。对入侵检测的研究机构也有不少，其中有 Stanford Research Institute 的Computer Science Laboratory（SRI/CSL）， Purdue University 的 COAST （Computer Operations Audit and Security Technology）研究小组，以及美国国家能源部的Lawrence Livermore National Laboratory等机构。系统脆弱性的研究目前仍不很成熟，因为系统脆弱性的涵盖面很广，而且还在不断地增加，对于脆弱性的分类也会因新的漏洞被发现而相应地发展补充，所以它是一个动态的过程。另外，针对不同的目的也要求分类方法有所差别。对于入侵检测的研究，从早期的审计跟踪数据分析，到实时入侵检测系统，到目前应用于大型网络和分布式系统，基本上已发展成具有一定规模和相应理论的课题。

----(1) 从具体的检测方法上，将检测系统分为基于行为的和基于知识的两类。

----基于行为的检测指根据使用者的行为或资源使用状况的正常程度来判断是否发生入侵，而不依赖于具体行为是否出现来检测，即建立被检测系统正常行为的参考库，并通过与当前行为进行比较来寻找偏离参考库的异常行为。例如一般在白天使用计算机的用户，如果他突然在午夜注册登录，则被认为是异常行为，有可能是某入侵者在使用。基于行为的检测也被称为异常检测（Anomaly Detection）。

----基于知识的检测指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来判断。因为很大一部分入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事件间关系，具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有警戒作用，因为只要部分满足这些入侵迹象就意味着可能有入侵发生。基于知识的检测也被称为误用检测（Misuse Detection）。

----(2) 根据检测系统所分析的原始数据不同，可入侵检测分为来自系统日志和网络数据包两种。

----操作系统的日志文件中包含了详细的用户信息和系统调用数据，从中可分析系统是否被侵入以及侵入者留下的痕迹等审计信息。随着Internet的推广，网络数据包逐渐成为有效且直接的检测数据源，因为数据包中同样也含有用户信息。入侵检测的早期研究主要集中在主机系统的日志文件分析上。因为用户对象局限于本地用户，随着分布式大型网络的推广，用户可随机地从不同客户机上登录，主机间也经常需要交换信息。尤其是Internet的广泛应用，据统计入侵行为大多数发生在网络上。这样就使入侵检测的对象范围也扩大至整个网络。

----在现有的实用系统中，还可根据系统运行特性分为实时检测和周期性检测，以及根据检测到入侵行为后是否采取相应措施而分为主动型和被动型。对于入侵检测系统的分类可用下图表示：

----以上仅对网络信息安全方面的若干技术做了一个简要的介绍。从中我们可以看到，与计算机黑客的斗争，是一个“道高一尺，魔高一丈”过程。尤其在最近一年里，黑客的行为表现得更为组织化、规模化，其技术水平普遍都有了很大的提高。如果想要在这场此消彼长的斗争中保持主动，那么就必须保持一支专业队伍，不断跟踪黑客技术，研究其行为特点，提出自己的反黑客理论及方法，通过深入研究黑客技术，有效地提高系统的管理和应用水平。

信息安全与信息安全技术有什么区别？

什么是信息安全

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

信息安全的实现目标

◆ 真实性：对信息的来源进行判断，能对伪造来源的信息予以鉴别。

◆ 保密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义。

◆ 完整性：保证数据的一致性，防止数据被非法用户篡改。

◆ 可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝。

◆ 不可抵赖性：建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。

◆ 可控制性：对信息的传播及内容具有控制能力。

◆ 可审查性：对出现的网络安全问题提供调查的依据和手段

主要的信息安全威胁

◆ 窃取：非法用户通过数据窃听的手段获得敏感信息。

◆ 截取：非法用户首先获得信息，再将此信息发送给真实接收者。

◆ 伪造：将伪造的信息发送给接收者。

◆ 篡改：非法用户对合法用户之间的通讯信息进行修改，再发送给接收者。

◆ 拒绝服务攻击：攻击服务系统，造成系统瘫痪，阻止合法用户获得服务。

◆ 行为否认：合法用户否认已经发生的行为。

◆ 非授权访问：未经系统授权而使用网络或计算机资源。

◆ 传播病毒：通过网络传播计算机病毒，其破坏性非常高，而且用户很难防范。

信息安全威胁的主要来源

◆ 自然灾害、意外事故；

◆ 计算机犯罪；

◆ 人为错误，比如使用不当，安全意识差等；

◆ "黑客" 行为；

◆ 内部泄密；

◆ 外部泄密；

◆ 信息丢失；

◆ 电子谍报，比如信息流量分析、信息窃取等；

◆ 信息战；

◆ 网络协议自身缺陷缺陷，例如TCP/IP协议的安全问题等等。

信息安全策略

信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全，不但靠先进的技术，而且也得靠严格的安全管理，法律约束和安全教育：

◆ 先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估，决定其所需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术，形成一个全方位的安全系统；

◆ 严格的安全管理。各计算机网络使用机构，企业和单位应建立相应的网络安全管理办法，加强内部管理，建立合适的网络安全管理系统，加强用户管理和授权管理，建立安全审计和跟踪体系，提高整体网络安全意识；

◆ 制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依，无章可循，导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪，必须建立与网络安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。

信息安全涉及的主要问题

◆ 网络攻击与攻击检测、防范问题

◆ 安全漏洞与安全对策问题

◆ 信息安全保密问题

◆ 系统内部安全防范问题

◆ 防病毒问题

◆ 数据备份与恢复问题、灾难恢复问题

信息安全技术简介

目前，在市场上比较流行，而又能够代表未来发展方向的安全产品大致有以下几类：

◆ 防火墙：防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。主要技术有：包过滤技术，应用网关技术，代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击，并且能够实现数据流的监控、过滤、记录和报告功能，较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题，也可能会是一个潜在的瓶颈。

◆ 安全路由器：由于WAN连接需要专用的路由器设备，因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。

◆ 虚拟专用网(VPN)：虚拟专用网（VPN）是在公共数据网络上，通过采用数据加密技术和访问控制技术，实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙，以实现数据在公共信道上的可信传递。

◆ 安全服务器：安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题，其实现功能包括对局域网资源的管理和控制，对局域网内用户的管理，以及局域网中所有安全相关事件的审计和跟踪。

◆ 电子签证机构--CA和PKI产品：电子签证机构（CA）作为通信的第三方，为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书，为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务，将成为所有应用的计算基础结构的核心部件。

◆ 用户认证产品：由于IC卡技术的日益成熟和完善，IC卡被更为广泛地用于用户认证产品中，用来存储用户的个人私钥，并与其它技术如动态口令相结合，对用户身份进行有效的识别。同时，还可利用IC卡上的个人私钥与数字签名技术结合，实现数字签名机制。随着模式识别技术的发展，诸如指纹、视网膜、脸部特征等高级的身份识别技术也将投入应用，并与数字签名等现有技术结合，必将使得对于用户身份的认证和识别更趋完善。

◆ 安全管理中心：由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。

◆ 入侵检测系统（IDS）：入侵检测，作为传统保护机制（比如访问控制，身份识别等）的有效补充，形成了信息系统中不可或缺的反馈链。

◆ 安全数据库：由于大量的信息存储在计算机数据库内，有些信息是有价值的，也是敏感的，需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

◆ 安全操作系统：给系统中的关键服务器提供安全运行平台，构成安全WWW服务，安全FTP服务，安全SMTP服务等，并作为各类网络安全产品的坚实底座，确保这些安全产品的自身安全。

参考资料：

通过以上你搞懂了信息安全，接下来告诉你网路与信心安全，它是个学科的专业，我的一个朋友的专业就是网络与信息安全，（你区别以下就行了 ）我估计网络与信息安全是信息安全的一个分支。

网路信息安全的关键技术（转）

---- 近几年来，Internet技术日趋成熟，已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。与此同时，数以万计的商业公司、政府机构在多年的犹豫、观望之后，意识到采用Internet技术并使企业数据通信网络成为Internet的延伸已成为发展趋势。这使得企业数据网络正迅速地从以封闭型的专线、专网为特征的第二代技术转向以Internet互联技术为基础的第三代企业信息网络。所有这些，都促使了计算机网络互联技术迅速的大规模使用。

----众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在使用和管理上的无政府状态，逐渐使Internet自身的安全受到严重威胁，与它有关的安全事故屡有发生。对网络安全的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面。这就要求我们对与Internet互连所带来的安全性问题予以足够重视。

防火墙

----“防火墙”是近年发展起来的一种重要安全技术，其特征是通过在网络边界上建立相应的网络通信监控系统，达到保障网络安全的目的。防火墙型安全保障技术假设被保护网络具有明确定义的边界和服务，并且网络安全的威胁仅来自外部网络，进而通过监测、限制、更改跨越“火墙”的数据流，通过尽可能地对外部网络屏蔽有关被保护网络的信息、结构，实现对网络的安全保护。

----“防火墙”技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段。它所保护的对象是网络中有明确闭合边界的一个网块。它的防范对象是来自被保护网块外部的对网络安全的威胁。所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的分隔被保护网络与外部网络的系统。可见，防火墙技术最适合于在企业专网中使用，特别是在企业专网与公共网络互连时使用。

----建立“防火墙”是在对网络的服务功能和拓扑结构仔细分析的基础上，在被保护网络周边通过专用软件、硬件及管理措施的综合，对跨越网络边界和信息提供监测、控制甚至修改的手段。实现防火墙所用的主要技术有数据包过滤、应用网关(Application Gateway)和代理服务器(Proxy Server)等。在此基础上合理的网络拓扑结构及有关技术(在位置和配置上)的适度使用也是保证防火墙有效使用的重要因素。

加密型网络安全技术

----通常网络系统安全保障的实现方法可以分为两大类：以防火墙技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障系统。

----以数据加密和用户确认为基础的开放型安全保障技术是普遍适用的，是对网络服务影响较小的一种途径，并可望成为网络安全问题的最终的一体化解决途径。这一类技术的特征是利用现代的数据加密技术来保护网络系统中包括用户数据在内的所有数据流。只有指定的用户或网络设备才能够解译加密数据，从而在不对网络环境作特殊要求的前提下从根本上解决网络安全的两大要求(网络服务的可用性和信息的完整性)。这类技术一般不需要特殊的网络拓扑结构的支持，因而实施代价主要体现在软件的开发和系统运行维护等方面。这类方法在数据传输过程中不对所经过的网络路径的安全程度作要求(因而不会受之影响)，从而真正实现网络通信过程的端到端的安全保障。目前已经有了相当数量的以不同方法实施的这一类安全保障系统。但是由于大部分数据加密算法源于美国，并且受到美国出口管制法的限制而无法在以国际化为特征的 Internet网络上大规模使用，因而目前以这一途径实现的系统大多局限在应用软件层次。在网络层次上应用和实现的网络一般相对规模较小，限制了以此作为基础的全面的网络安全解决方案的产生。但预计在未来3～5年内，这一类型的网络安全保障系统有希望成为网络安全的主要实现方式。

----1. 分类

----数据加密技术可以分为三类，即对称型加密、不对称型加密和不可逆加密。

----对称型加密使用单个密钥对数据进行加密或解密，其特点是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难，主要是密钥管理困难，使用成本较高，保安性能也不易保证。这类算法的代表是在计算机专网系统中广泛使用的DES（Digital Encryption Standard）算法。

----不对称型加密算法也称公用密钥算法，其特点是有二个密钥（即公用密钥和私有密钥），只有二者搭配使用才能完成加密和解密的全过程。由于不对称算法拥有两个密钥，它特别适用于分布式系统中的数据加密，在Internet中得到了广泛应用。其中公用密钥在网上公布，为数据源对数据加密使用，而用于解密的相应私有密钥则由数据的收信方妥善保管。

----不对称加密的另一用法称为“数字签名（Digital signature）”，即数据源使用其密钥对数据的校验和（Check Sum）或其他与数据内容有关的变量进行加密，而数据接收方则用相应的公用密钥解读“数字签名”，并将解读结果用于对数据完整性的检验。在网络系统中得到应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA算法（Digital Signature Algorithm）。不对称加密法在分布式系统中应用时需注意的问题是如何管理和确认公用密钥的合法性。

----不可逆加密算法的特征是加密过程不需要密钥，并且经过加密的数据无法被解密，只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题，适合在分布式网络系统上使用，但是其加密计算工作量相当可观，所以通常用于数据量有限的情形下的加密，如计算机系统中的口令就是利用不可逆算法加密的。近来随着计算机系统性能的不断改善，不可逆加密的应用逐渐增加。在计算机网络中应用较多的有RSA公司发明的MD5算法和由美国国家标准局建议的可靠不可逆加密标准（SHS:Secure Hash Standard）。

----2. 应用

----加密技术用在网络安全方面通常有两种形式，即面向网络或面向应用服务。

----前者通常工作在网络层或传输层，使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息，从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外，通过适当的密钥管理机制，使用这一方法还可以在公用的互连网络上建立虚拟专用网络，并保障虚拟专用网上信息的安全性。SKIP协议即是近来IETF在这一方面努力的结果。

----面向网络应用服务的加密技术，则是目前较为流行的加密技术的使用方法，例如使用Kerberos服务的Telnet、NFS、Rlogin等，以及用作电子邮件加密的PEM（Privacy Enhanced Mail）和PGP（Pretty Good Privacy）。这一类加密技术的优点在于实现相对较为简单，不需要对电子信息（数据包）所经过的网络的安全性能提出特殊要求，对电子邮件数据实现了端到端的安全保障。

漏洞扫描技术

----漏洞扫描是自动检测远端或本地主机安全脆弱点的技术。它查询TCP/IP端口，并纪录目标的响应，收集关于某些特定项目的有用信息，如正在进行的服务，拥有这些服务的用户，是否支持匿名登录，是否有某些网络服务需要鉴别等。这项技术的具体实现就是安全扫描程序。

----早期的扫描程序是专门为Unix系统编写的，随后情况就发生了变化。现在很多操作系统都支持TCP/IP，因此，几乎每一种平台上都出现了扫描程序。扫描程序对提高Internet安全发挥了很大的作用。

----在任何一个现有的平台上都有几百个熟知的安全脆弱点。人工测试单台主机的这些脆弱点要花几天的时间。在这段时间里，必须不断进行获取、编译或运行代码的工作。这个过程需要重复几百次，既慢又费力且容易出错。而所有这些努力，仅仅是完成了对单台主机的检测。更糟糕的是，在完成一台主机的检测后，留下了一大堆没有统一格式的数据。在人工检测后，又不得不花几天的时间来分析这些变化的数据。而扫描程序可在在很短的时间内就解决这些问题。扫描程序开发者利用可得到的常用攻击方法，并把它们集成到整个扫描中。输出的结果格式统一，容易参考和分析。

----从上述事实可以看出：扫描程序是一个强大的工具，它可以用来为审计收集初步的数据。如同一杆霰弹猎枪，它可以快速而无痛苦地在大范围内发现已知的脆弱点。

----在扫描程序的发展中，已有的扫描程序大约有几十种，有的快捷小巧，能够很好地实现某个单一功能；有的功能完善，界面友好，曾经名噪一时。至今，仍然被广泛使用的扫描程序有NSS、Strobe、SATAN、Ballista、Jakal、 IdentTCPscan、Ogre、WebTrends Security Scanner、CONNECT、FSPScan、XSCAN、 ISS。

入侵检测技术

----人们发现只从防御的角度构造安全系统是不够的。因此，人们开始寻求其他途径来补充保护网络的安全，系统脆弱性评估及入侵检测的研究课题便应运而生。入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程。它不仅检测来自外部的入侵行为，同时也指内部用户的未授权活动。入侵检测应用了以攻为守的策略，它所提供的数据不仅有可能用来发现合法用户滥用特权，还有可能在一定程度上提供追究入侵者法律责任的有效证据。

----从20世纪80年代初开始，国外就有一些研究机构及学校着手有关系统脆弱性分类的研究，如Information Science Institute、Lawrence Livermore National Laboratories 以及UC Davis Computer Security Lab等。系统脆弱性的研究一方面因为 Internet的迅速膨胀，另一方面因为入侵检测的兴起。对入侵检测的研究机构也有不少，其中有 Stanford Research Institute 的Computer Science Laboratory（SRI/CSL）， Purdue University 的 COAST （Computer Operations Audit and Security Technology）研究小组，以及美国国家能源部的Lawrence Livermore National Laboratory等机构。系统脆弱性的研究目前仍不很成熟，因为系统脆弱性的涵盖面很广，而且还在不断地增加，对于脆弱性的分类也会因新的漏洞被发现而相应地发展补充，所以它是一个动态的过程。另外，针对不同的目的也要求分类方法有所差别。对于入侵检测的研究，从早期的审计跟踪数据分析，到实时入侵检测系统，到目前应用于大型网络和分布式系统，基本上已发展成具有一定规模和相应理论的课题。

----(1) 从具体的检测方法上，将检测系统分为基于行为的和基于知识的两类。

----基于行为的检测指根据使用者的行为或资源使用状况的正常程度来判断是否发生入侵，而不依赖于具体行为是否出现来检测，即建立被检测系统正常行为的参考库，并通过与当前行为进行比较来寻找偏离参考库的异常行为。例如一般在白天使用计算机的用户，如果他突然在午夜注册登录，则被认为是异常行为，有可能是某入侵者在使用。基于行为的检测也被称为异常检测（Anomaly Detection）。

----基于知识的检测指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来判断。因为很大一部分入侵是利用了系统的脆弱性，通过分析入侵过程的特征、条件、排列以及事件间关系，具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有警戒作用，因为只要部分满足这些入侵迹象就意味着可能有入侵发生。基于知识的检测也被称为误用检测（Misuse Detection）。

----(2) 根据检测系统所分析的原始数据不同，可入侵检测分为来自系统日志和网络数据包两种。

----操作系统的日志文件中包含了详细的用户信息和系统调用数据，从中可分析系统是否被侵入以及侵入者留下的痕迹等审计信息。随着Internet的推广，网络数据包逐渐成为有效且直接的检测数据源，因为数据包中同样也含有用户信息。入侵检测的早期研究主要集中在主机系统的日志文件分析上。因为用户对象局限于本地用户，随着分布式大型网络的推广，用户可随机地从不同客户机上登录，主机间也经常需要交换信息。尤其是Internet的广泛应用，据统计入侵行为大多数发生在网络上。这样就使入侵检测的对象范围也扩大至整个网络。

----在现有的实用系统中，还可根据系统运行特性分为实时检测和周期性检测，以及根据检测到入侵行为后是否采取相应措施而分为主动型和被动型。对于入侵检测系统的分类可用下图表示：

----以上仅对网络信息安全方面的若干技术做了一个简要的介绍。从中我们可以看到，与计算机黑客的斗争，是一个“道高一尺，魔高一丈”过程。尤其在最近一年里，黑客的行为表现得更为组织化、规模化，其技术水平普遍都有了很大的提高。如果想要在这场此消彼长的斗争中保持主动，那么就必须保持一支专业队伍，不断跟踪黑客技术，研究其行为特点，提出自己的反黑客理论及方法，通过深入研究黑客技术，有效地提高系统的管理和应用水平。

什么叫网络黑客

提起黑客，总是那么神秘莫测。在人们眼中，黑客是一群聪明绝顶，精力旺盛的年轻人，一门心思地破译各种密码，以便偷偷地、未经允许地打入政府、企业或他人的计算机系统，窥视他人的隐私。那么，什么是黑客呢？

黑客（hacker），源于英语动词hack，意为“劈，砍”，引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中，“黑客”则有“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧。在日本《新黑客词典》中，对黑客的定义是“喜欢探索软件程序奥秘，并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样，只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中，我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全，他们以保护网络为目的，而以不正当侵入为手段找出网络漏洞。

另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作（如用暴力法破解口令），他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。

一般认为，黑客起源于50年代麻省理工学院的实验室中，他们精力充沛，热衷于解决难题。60、70年代，“黑客”一词极富褒义，用于指代那些独立思考、奉公守法的计算机迷，他们智力超群，对电脑全身心投入，从事黑客活动意味着对计算机的最大潜力进行智力上的自由探索，为电脑技术的发展做出了巨大贡献。正是这些黑客，倡导了一场个人计算机革命，倡导了现行的计算机开放式体系结构，打破了以往计算机技术只掌握在少数人手里的局面，开了个人计算机的先河，提出了“计算机为人民所用”的观点，他们是电脑发展史上的英雄。现在黑客使用的侵入计算机系统的基本技巧，例如破解口令（password cracking），开天窗（trapdoor），走后门（backdoor），安放特洛伊木马（Trojan horse）等，都是在这一时期发明的。从事黑客活动的经历，成为后来许多计算机业巨子简历上不可或缺的一部分。例如，苹果公司创始人之一乔布斯就是一个典型的例子。

在60年代，计算机的使用还远未普及，还没有多少存储重要信息的数据库，也谈不上黑客对数据的非法拷贝等问题。到了80、90年代，计算机越来越重要，大型数据库也越来越多，同时，信息越来越集中在少数人的手里。这样一场新时期的“圈地运动”引起了黑客们的极大反感。黑客认为，信息应共享而不应被少数人所垄断，于是将注意力转移到涉及各种机密的信息数据库上。而这时，电脑化空间已私有化，成为个人拥有的财产，社会不能再对黑客行为放任不管，而必须采取行动，利用法律等手段来进行控制。黑客活动受到了空前的打击。

但是，政府和公司的管理者现在越来越多地要求黑客传授给他们有关电脑安全的知识。许多公司和政府机构已经邀请黑客为他们检验系统的安全性，甚至还请他们设计新的保安规程。在两名黑客连续发现网景公司设计的信用卡购物程序的缺陷并向商界发出公告之后，网景修正了缺陷并宣布举办名为“网景缺陷大奖赛”的竞赛，那些发现和找到该公司产品中安全漏洞的黑客可获1000美元奖金。无疑黑客正在对电脑防护技术的发展作出贡献。

2，黑客攻击

一些黑客往往回采取一些几种方法，但是我很想说的是，一个优秀的黑客绝不会随便攻击别人的。

1）、获取口令

这又有三种方法：一是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大；二是在知道用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户口令，这种方法不受网段限制，但黑客要有足够的耐心和时间；三是在获得一个服务器上的用户口令文件（此文件成为Shadow文件）后，用暴力破解程序破解用户口令，该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大，因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器，而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码，尤其对那些弱智用户(指口令安全系数极低的用户，如某用户账号为zys，其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内，甚至几十秒内就可以将其干掉。

2）、放置特洛伊木马程序

特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知黑客，来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。

3）、WWW的欺骗技术

在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。

4）、电子邮件攻击

电子邮件攻击主要表现为两种方式：一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序（据笔者所知，某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务，这为黑客成功地利用该方法提供了可乘之机)，这类欺骗只要用户提高警惕，一般危害性不是太大。

5）、通过一个节点来攻击其他节点

黑客在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。这类攻击很狡猾，但由于某些技术很难掌握，如IP欺骗，因此较少被黑客使用。

6）、网络监听

网络监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如NetXray for windows 95/98/nt，sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。

7）、寻找系统漏洞

许多系统都有这样那样的安全漏洞（Bugs），其中某些是操作系统或应用软件本身具有的，如Sendmail漏洞，win98中的共享目录密码验证漏洞和IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时加以修正。

8）、利用帐号进行攻击

有的黑客会利用操作系统提供的缺省账户和密码进行攻击，例如许多UNIX主机都有FTP和Guest等缺省账户（其密码和账户名同名），有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息，不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕，将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。

9）、偷取特权

利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个网络的绝对控制权。这种攻击手段，一旦奏效，危害性极大。